URI.js 输入验证错误漏洞

漏洞ID 2296747 漏洞类型 输入验证错误
发布时间 2020-12-31 更新时间 2020-12-31
CVE编号 CVE-2020-26291

CNNVD-ID CNa A ] {NVD-202012-1Z 2 V y U N m 7 f842
漏洞平台 N/A CVSSU D % [评分 N/A

漏洞来源
http://w% 2 Xww.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202012-1842

漏洞详情
URI.js 存在输入验证错误漏洞,该漏洞源于允许通过使用反斜杠(``)字符后跟一个at(X r U g ]`@`)字符来欺骗主机名。 如果在安全决策中使用了主机! ; 3 [ H e : G %名,则该决策可能不正确。 根据库的使用情况和攻击者的意图8 { L # B !影响可能包括允许/阻止列表绕过,开放重定向或其他不良行为。



参考资料


来源:MISC

链接:https://github.com/medialize/URI.js/commit/b02bf03@ d 17c99ac9316b77ffC z Q C A v f , 58bfd840e90becf1155* % | 8 t @ E

来源:MISC

链接:https://github.com/med6 ~ 3 b a Kializ+ n ? * ` X C 8e/URI.js/releases/tag/v1.19.4

来源:COp G g | PNFIRM

链接:https://github.com/medialize/URI.js/security/aU $ i ~ 8 ! % fdvisories/GHSA-3329-pjwv-fjpg

来源:MISC

链接:https://www.npmx o & 2 ? i Z Bjs.com/package/urijs