一、 漏洞 CVE-2022-23647 基础信息
漏洞信息
                                        # Prism中的跨站脚本漏洞

## 漏洞概述
Prism 语法高亮库的命令行插件存在跨站脚本(XSS)漏洞,源于其输出未正确转义,导致输入文本作为HTML代码插入到DOM中。

## 影响版本
- 版本范围:从 1.14.0 至 1.27.0(不包括 1.27.0)

## 漏洞细节
- **漏洞类型**:跨站脚本(XSS)漏洞
- **原因**:命令行插件输出未转义,导致输入文本作为HTML插入到DOM中

## 影响
- 服务器端使用Prism不受影响。
- 不使用命令行插件的网站不受影响。
- 修复版本:v1.27.0

## 临时解决方案
- 不要对不可信的输入使用命令行插件。
- 对所有使用命令行插件的代码块进行清理,移除所有HTML代码文本。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Cross-site Scripting in Prism
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Prism is a syntax highlighting library. Starting with version 1.14.0 and prior to version 1.27.0, Prism's command line plugin can be used by attackers to achieve a cross-site scripting attack. The command line plugin did not properly escape its output, leading to the input text being inserted into the DOM as HTML code. Server-side usage of Prism is not impacted. Websites that do not use the Command Line plugin are also not impacted. This bug has been fixed in v1.27.0. As a workaround, do not use the command line plugin on untrusted inputs, or sanitize all code blocks (remove all HTML code text) from all code blocks that use the command line plugin.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Prism 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Prism是美国Prism个人开发者的一个应用软件。是一种轻量级的,可扩展的语法突出显示工具。 Prism 存在跨站脚本漏洞,该漏洞源于命令行插件没有正确地转义其输出,导致输入文本作为HTML代码插入到DOM中。Prism的服务器端使用不会受到影响。不使用命令行插件的网站也不会受到影响。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-23647 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-23647 的情报信息