一、 漏洞 CVE-2024-30875 基础信息
漏洞信息
# N/A
## 漏洞概述
在JavaScript库jquery-ui v.1.13.1中存在跨站脚本(XSS)漏洞,远程攻击者可以通过window.addEventListener组件传递恶意构造的有效载荷,从而获取敏感信息并执行任意代码。
## 影响版本
- jquery-ui v.1.13.1
## 细节
攻击者通过传递恶意构造的有效载荷至window.addEventListener组件,能够触发XSS漏洞。此漏洞可能允许攻击者在目标用户的浏览器中执行任意代码,进而获取敏感数据或进行其他恶意操作。
## 影响
- 允许远程攻击者获取敏感信息。
- 允许远程攻击者执行任意代码。
- 供应商对此漏洞存在争议,认为无法复现该问题,并且示例中未明确指出jquery-ui如何被使用。
## 供应商争议
供应商认为该漏洞无法复现,并且示例中没有明确说明如何以及是否使用了jQuery UI。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Cross Site Scripting vulnerability in JavaScript Library jquery-ui v.1.13.1 allows a remote attacker to obtain sensitive information and execute arbitrary code via a crafted payload to the window.addEventListener component. NOTE: this is disputed by the Supplier because it cannot be reproduced, and because the exploitation example does not indicate whether, or how, the example website is using jQuery UI.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
jQuery UI 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
jQuery UI是jQuery开源的一个基于 jQuery 构建的一组精心策划的用户界面交互、效果、小部件和主题。 jQuery UI v.1.13.1版本存在安全漏洞,该漏洞源于存在跨站脚本漏洞,允许远程攻击者通过发送特制的有效载荷来获取敏感信息并执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-30875 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Reflected Cross Site Scripting - RXSS | https://github.com/Ant1sec-ops/CVE-2024-30875 | POC详情 |
