一、 漏洞 CVE-2021-47841 基础信息
漏洞信息
# SnipCommand 0.1.0 持久化XSS漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SnipCommand 0.1.0 - Persistent Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
SnipCommand 0.1.0 contains a cross-site scripting vulnerability that allows attackers to inject malicious payloads into command snippets. Attackers can execute arbitrary code by embedding malicious JavaScript that triggers remote command execution through file or title inputs.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47841 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-47841 的情报信息
标题: SnipCommand 0.1.0 - Persistent Cross-Site Scripting - Multiple webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:- **Exploit Title:** SnipCommand 0.1.0 - Persistent Cross-Site Scripting - **EDB-ID:** 49829 - **CVE:** N/A - **Author:** TAURUSOMAR - **Type:** WEBAPPS - **Platform:** MULTIPLE - **Date:** 2021-05-05 - **Vulnerable App:** SnipCommand - **Vendor Homepage:** https://github.com/gurayyarar/SnipCommand - **Version:** 0.1.0 - **Tested on:** Windows, Linux, MacOS - **Software Description:** Open source command snippets manager for organize and copy fast. It helps you create, organize and store your commands (Excel formulas, Sql Queries, Terminal commands, etc.) with dynamic parameters for quick copy to it. Describe your commands with dynamic parameters also support documentation about your snippets. You can select or specify your dynamic values using with selectbox/inputbox for ready to paste the workspace. You can organize with tags. - **Payload:** exec(Attacker Reverse netcat stolen -> /etc/passwd) && exec(calc) - **CVSS:** 3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - **Risk:** High (8.8)
标题: - GIF - Imgur -- 🔗来源链接
标签:exploit
神龙速读:从这张截图中没有直接获取到关于漏洞的关键信息。截图主要显示的是一个网站的隐私政策或数据使用授权弹窗。以下是从截图中可以确定的信息: - 网页属于imgur.com,一个图片托管和分享服务网站。 - 网站正在寻求用户的同意,以使用某些个人数据进行个性化广告和内容、广告与内容测量、受众研究和服务开发等。 - 数据可能会被存储或者在设备上进行访问。 - 提供了一个链接[List of partners](#)以查看涉及的合作伙伴。 - 提示用户可以管理其选项以撤回对隐私和Cookie设置的同意。 如果有关于网站是否存在漏洞的怀疑,可能需要查看源代码或相关描述,而这在当前截图中并不可见。总的来说,这张截图主要涉及的是数据隐私和用户同意,而不是安全漏洞。
标题: GitHub - gurayyarar/SnipCommand: A free and open source command snippets manager for organize and copy fast. -- 🔗来源链接
标签:product
神龙速读:## 关键信息总结 - **项目名称**: SnipCommand - **项目用途**: 开源命令片段管理器,用于快速组织和复制命令 - **平台兼容性**: 支持 Windows、macOS 和 Linux - **技术栈**: 使用 Electron 和 React 构建 - **授权协议**: MIT 许可证 ## 安全漏洞提示 - **脆弱点**: 代码库仅包含 3 次提交记录,且最新代码改动距今已有 6 年,可能存在潜在的软件维护和安全更新不足的问题。 - **漏洞日志**: 没有专门的漏洞报告或管理日志,关注者和star数量有限,可能缺乏社区维护的活跃性。
标题: SnipCommand 0.1.0 - Persistent Cross-Site Scripting | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:### 关键漏洞信息 - **漏洞名称**: SnipCommand 0.1.0 - Persistent Cross-Site Scripting - **严重性**: Medium - **披露日期**: January 16, 2026 - **受影响软件**: SnipCommand 0.1.0 - **CVE编号**: CVE-2021-47841 - **CVE类型**: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') - **CVSS评分**: 8.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N - **描述**: SnipCommand 0.1.0 中的跨站脚本漏洞允许攻击者在命令片段中注入恶意负载。攻击者可以通过文件或标题输入嵌入的恶意JavaScript触发远程命令执行,从而执行任意代码。 - **参考链接**: - [ExploitDB-49829](链接) - [SnipCommand GitHub Repository](链接) - [Proof of Concept Video](链接) - **报告人**: TaurusOmar
- https://nvd.nist.gov/vuln/detail/CVE-2021-47841
四、漏洞 CVE-2021-47841 的评论
暂无评论