关键漏洞信息 CVE ID: CVE-2024-12326 发布日期: 2024-12-06 更新日期: 2024-12-30 CNA: GitLab Inc. 标题: 在Jirafeau中生成网页时输入的不当中和(跨站脚本) 描述: Jirafeau通常会阻止SVG文件的浏览器预览,因为操纵的SVG文件可能会被用于跨站脚本攻击。这是通过存储文件的MIME类型并防止对MIME类型为image/svg+xml的文件进行浏览器预览来实现的。此问题首次在CVE-2022-30110中报告。然而,在上传过程中仍可以通过发送操纵的MIME类型来执行SVG文件的浏览器预览,例如将image/svg+xml中的任何字母大小写更改(如image/svg+XML)。检查image/svg+xml已改为不区分大小写。 CWE: CWE-79: 不当中和输入以生成网页(跨站脚本) CVSS: - 分数: 6.1 - 严重性: 中等 - 版本: 3.1 - 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:A/N 产品状态: - 厂商: Jirafeau项目 - 产品: Jirafeau - 受影响版本: 4.5.0到4.6.1之前 贡献者: - Yann Cam (发现者) - Georges Taupin (发现者) - Patrick Canterino (报告者) 参考链接: - https://gitlab.com/Jirafeau/Jirafeau/-/commit/6cfca8753d54e2025c6020b2af32529e25f58c66 - https://www.cve.org/CVERecord?id=CVE-2022-30110