一、漏洞详情
wiki.js是一个基于node.js的轻量级开源wiki软件。
wiki.js项目发布安全公告,修复了wiki.js中的2个xss漏洞(cve-2021-43856和cve-2021-43855)。
wiki.js xss漏洞(cve-2021-43856)
wiki.js 2.5.264之前的版本容易受到通过非图像文件上传的存储型跨站脚本的攻击,这些文件类型可以在浏览器中直接内联查看。通过创建在浏览器中查看时可以执行内联js的恶意文件(如xml文件),当其他用户查看该文件时将执行恶意javascript,但该文件必须由用户打开,不会在正常的wiki.js页面直接触发。
wiki.js xss漏洞(cve-2021-43855)
wiki.js 2.5.264之前的版本容易受到通过使用伪造mime类型的自定义请求上传svg文件的存储型跨站脚本的攻击。其他用户直接查看svg文件时将执行恶意javascript,当通过普通标签加载到页面内时,脚本不会执行。恶意的svg文件只能通过使用伪造的mime类型向服务器发送自定义请求来上传。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
wiki.js < 2.5.264
三、修复建议
目前这些漏洞已经修复,建议受影响用户及时升级更新至wiki.js 2.5.264版本。
下载链接:https://github.com/requarks/wiki
