从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Unvalidated ColorColumn and ColorEntry values can be used for XSS - 严重性:Critical - CVE ID:CVE-2024-47186 - 描述:如果传递给ColorColumn或ColumnEntry的值无效且包含特定字符集,应用程序可能会受到XSS攻击。受影响的版本范围从v3.0.0到v3.2.114。 2. 受影响的版本: - filament/infolists:>= 3.0.0, = 3.0.0, = 3.2.115 - 修复时间:25/09/2024 4. 建议: - 建议版本:v3.2.115 - 建议:升级到v3.2.115版本以修复此漏洞。 5. PoC: - PoC将在几周后发布,以便开发者有时间升级他们的应用程序。 6. 响应: - 漏洞由@sv-LayZ报告并修复,修复过程在27/09/2024完成。 - 修复后的版本为v3.2.115。 - 修复的详细解释将在几周后发布。 7. 建议: - 虽然这些组件不再受到这种类型的XSS攻击,但建议验证颜色输入,并且由于许多Filament用户可能正在使用ColorPicker组件进行额外的颜色验证,因此发布了额外的验证文档。 这些信息可以帮助开发者了解漏洞的严重性、受影响的范围、修复情况以及如何避免或减轻漏洞的影响。