Mermaid 注入漏洞

CNNVD-ID编号	CNNVD-202206-2737
CVE编号	CVE-2022-31108
发布时间	2022-06-28
更新时间	2022-06-29
漏洞类型	注入
漏洞来源	N/A
危险等级	N/A
威胁类型	N/A
厂商	N/A

漏洞介绍

Mermaid是一个应用软件。使用文本和代码创建图表和可视化。 Mermaid 9.1.3之前版本存在注入漏洞，该漏洞源于只要有实际匹配，浏览器就会发出一个 http 请求，以 load 一个背景图像，让攻击者知道该字符的值是什么，攻击者利用该漏洞能够将任意 CSS 注入到生成的图形中，从而允许他们更改生成图形之外的元素样式，并可能通过使用特制的“CSS”选择器泄露敏感信息。

漏洞补丁

目前厂商已发布升级了Mermaid 注入漏洞的补丁，Mermaid 注入漏洞的补丁获取链接： https://github.com/mermaid-js/mermaid/security/advisories/GHSA-x3vm-38hw-55wf

参考网址

来源:MISC

链接：https://github.com/mermaid-js/mermaid/commit/0ae1bdb61adff1cd485caff8c62ec6b8ac57b225
来源:CONFIRM

链接：https://github.com/mermaid-js/mermaid/security/advisories/GHSA-x3vm-38hw-55wf

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202206-2737