Darwin Factor 安全漏洞

CNNVD-ID编号 CNNVD-202111-1501
CVE编号 CVE-2021-25985
发布时间 2021-11-16
更新时间 2021-11-18
漏洞类型 其他
漏洞来源 N/A
危险等级 N/A
威胁类型 本地
厂 商 N/A

漏洞介绍

Darwin Factor是美国Darwin公司的一个免费开源的下一代 TypeScript 框架。用于创建博客、登录页面和 JamStack 应用程序。 Darwin Factor 存在安全漏洞,该漏洞源于即使在用户注销应用程序后,也会不正确地使用户的会话无效。 此外,用户会话存储在浏览器的本地存储中,默认情况下没有过期时间。 这使得攻击者可以使用 XSS 攻击等技术窃取和重用 cookie,然后接管本地帐户。

漏洞补丁

目前厂商已发布升级了Darwin Factor 安全漏洞的补丁,Darwin Factor 安全漏洞的补丁获取链接: https://github.com/FactorJS/factor/blob/v1.8.30/@factor/user/util.ts#L65

参考网址

受影响实体

  • 暂无

信息来源