一、 漏洞 CVE-2021-47840 基础信息
漏洞信息
# Moeditor 0.2.0 跨站脚本漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Moeditor 0.2.0 - Persistent Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Moeditor 0.2.0 contains a persistent cross-site scripting vulnerability that allows attackers to store malicious payloads within markdown files. Attackers can upload specially crafted markdown files with embedded JavaScript that execute when opened, potentially enabling remote code execution on the victim's system.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47840 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-47840 的情报信息
标题: Moeditor 0.2.0 - Persistent Cross-Site Scripting - Multiple webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:- **Vulnerability Details:** - **Title:** Moeditor 0.2.0 - Persistent Cross-Site Scripting - **EDB-ID:** 49830 - **CVE:** N/A - **Author:** TaurusOmar - **Type:** WEBAPPS - **Platform:** MULTIPLE - **Date:** 2021-05-05 - **Vulnerable App:** Moeditor 0.2.0 - **CVSS:** 3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - **Risk:** High (8.8) - **Vendor Homepage:** https://moeditor.js.org/ - **Version:** 0.2.0 - **Tested on:** Windows, Linux, MacOS - **Software Description:** - Software to view and edit sales documentation. Moeditor shows the md files in its editor allows to carry out projects easily, you can open your own files or share with other users. - **Payload Example:** - ```html <audio src=x onerror=writein(String.fromCharCode(10,60,97,117,100,105,111,32,115,114,99,61,120,32,111,110,101,114,114,101,110,116,114,61,34,99,111,110,61,115,114,99'61,'c)) ``` - **Advisory/Source:** Link
标题: - GIF - Imgur -- 🔗来源链接
标签:product
神龙速读:- **Key Information from Screenshot about Vulnerability:** - Imgur is requesting consent to use personal data. - Data will be used for personalized advertising, content measurement, audience research, and services development. - Personal data will be processed and shared with 168 TCF vendors and 80 ad partners. - Allows for managing options or consenting to data usage. - No specific vulnerability is directly mentioned in the screenshot.
标题: Moeditor — Your all-purpose markdown editor -- 🔗来源链接
标签:product
神龙速读:从提供的网页截图中,直接看到与漏洞相关的信息是有限的,但可以推断出一些潜在的弱点考虑点,尤其是在软件分发和开源项目的背景下。以下是根据截图内容能够推测的关键信息: - **开源项目**:MoEditor在测试阶段和将来都是免费的并且开源的。开源项目可能引入安全风险,因为任何人都可以查看和潜在地利用源代码。 - **跨平台兼容性**:支持多种操作系统(Ubuntu,其他GNU/Linux,OS X/macOS,Windows)。跨平台应用可能需要更多测试以确保在不同系统上的安全性和稳定性。 - **系统支持年限**:对于不同操作系统有不同的最低要求(Ubuntu 12.04,OS X 10.9,Windows 7及更高版本)。老旧的操作系统可能没有最新的安全补丁,对于这些用户而言,可能存在安全风险。 - **用户界面/行为**:由于截图中没有用户界面或行为的直接视图,无法直接推断出是否有与输入验证,用户权限等相关的漏洞。 如果有更具体的代码、日志、用户反馈或漏洞报道等相关信息,可以进一步分析MoEditor的具体安全风险。做到定期更新,遵循安全编程实践和漏洞管理,是维护软件安全的重要步骤。
标题: Moeditor 0.2.0 - Persistent Cross-Site Scripting | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:### 关键信息总结 **漏洞名称**: Moeditor 0.2.0 - Persistent Cross-Site Scripting **严重性**: MEDIUM **日期**: January 16, 2026 **受影响版本**: Moeditor 0.2.0 **漏洞描述**: Moeditor 0.2.0 存在一个持久性的跨站脚本漏洞,允许攻击者在 Markdown 文件中存储恶意载荷。攻击者可以上传特别制作的包含嵌入式 JavaScript 的 Markdown 文件,当被打开时执行,可能在受害者的系统上启用远程代码执行。 **CVE编号**: CVE-2021-47840 **CWE编号**: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') **CVSS评分**: 4.0 / AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N **参考链接**: - ExploitDB: [链接](http://exploitDB-49830) - Moeditor 官方主页: [链接](http://Moeditor Official Homepage) - Proof of Concept 视频: [链接](http://Proof of Concept Video) **贡献者**: TaurusOmar
- https://nvd.nist.gov/vuln/detail/CVE-2021-47840
四、漏洞 CVE-2021-47840 的评论
暂无评论