关键信息 漏洞类型 Cross-site Scripting (XSS) 影响的包和版本 org.webjars.org.json/jsondiffpatch 版本: 0.3.11 发布日期和CVE编号 发布日期: 4 Mar 2025 CVE编号: CVE-2025-9999 严重性评分 CVSS评分: 2.3 严重性等级: LOW 漏洞描述 概述: jsondiffpatch库的某些版本容易受到跨站脚本(XSS)攻击,通过HTML格式器将恶意脚本注入到HTML文档中。 详情: 攻击者可以利用不受信任的补丁对象在客户端执行恶意脚本,导致代码执行。 攻击类型 存储型XSS: 恶意代码被插入到应用程序中,并在用户点击链接时激活。 反射型XSS: 攻击者提供一个包含恶意脚本的URL,当用户访问该URL时,恶意脚本被发送到易受攻击的Web服务器并返回给用户的浏览器。 DOM-based XSS: 攻击者强制用户的浏览器渲染恶意页面,数据在页面本身传递跨站脚本数据。 变异型XSS: 攻击者注入看似安全的代码,但在解析标记时被重写和修改。 受影响环境 Web服务器 应用程序服务器 Web应用程序环境 防护措施 在HTTP请求中对用户输入的数据进行清理。 将特殊字符转换为相应的HTML或URL编码等价物。 给用户提供禁用客户端脚本的选项。 使用最小权限原则。 检测异常登录,包括来自两个不同IP地址的登录,并使这些会话无效。 使用和实施内容安全策略以禁用可能被操纵用于XSS攻击的功能。 阅读任何引用的库的文档,了解哪些元素允许嵌入HTML。