偵測

Plugin

關於 Plugin 系列

指標

攻擊指標 (IoA)

曝險指標 (IoE)

Swagger UI 3.14.0 < 3.38.0 跨網站指令碼

medium Web App Scanning Plugin ID 113267

語系：

概要

Swagger UI

說明

Swagger UI 是一種流行的程式庫，用於美化 API 規格並將其呈現給使用者。Swagger UI 3.14.1 至 3.37.2 版受到一個 DOM 跨網站指令碼 (XSS) 弱點影響，這是因為過時的 `DomPurify` 內嵌程式庫，以及 Swagger UI 程式庫本身提供的一個允許擷取遠端 API 規格檔案的功能所致。

攻擊者可特製惡意的規格檔案並透過 Swagger UI 加以連結，藉此在受害使用者的內容中執行任意 JavaScript 並發動進階攻擊。

解決方案

更新至 Swagger UI 3.38.0 版或更新版本。

另請參閱

https://swagger.io/tools/swagger-ui/

https://www.vidocsecurity.com/blog/hacking-swagger-ui-from-xss-to-account-takeovers/

Plugin 詳細資訊

嚴重性: Medium

ID: 113267

類型: remote

系列: Component Vulnerability

已發布: 2022/7/18

已更新: 2022/7/18

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Medium

分數: 4.2

CVSS v2

風險因素: Medium

基本分數: 5.8

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Medium

基本分數: 6.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 評分資料來源: Tenable

弱點資訊

CPE: cpe:2.3:a:smartbear:swagger-ui:*:*:*:*:*:*:*:*

可輕鬆利用: Exploits are available

參考資訊

CWE: 79

OWASP: 2010-A2, 2013-A3, 2013-A9, 2017-A7, 2017-A9, 2021-A3, 2021-A6

WASC: Cross-Site Scripting

CAPEC: 209, 588, 591, 592, 63, 85

DISA STIG: APSC-DV-002490, APSC-DV-002630

HIPAA: 164.306(a)(1), 164.306(a)(2)

ISO: 27001-A.14.2.5

NIST: sp800_53-CM-6b, sp800_53-SI-10

OWASP API: 2019-API7, 2023-API8

OWASP ASVS: 4.0.2-14.2.1, 4.0.2-5.3.3

PCI-DSS: 3.2-6.2, 3.2-6.5.7