漏洞标题:Hexo 跨站脚本漏洞
缺陷组件:hexo@5.4.0
漏洞编号:CVE-2021-25987
漏洞描述:Hexo是中国Tommy Chen个人开发者的一个快速、简单且强大的博客框架。
Hexo 存在跨站脚本漏洞,该漏洞源于Hexo版本0.0.1到5.4.0在网页生成过程中,帖子的主体和标签不会对恶意javascript进行消毒。攻击者可利用该漏洞注入任意代码。
影响范围:(∞, 6.0.0)
最小修复版本:6.0.0
缺陷组件引入路径:hexo-site@0.0.0->hexo@5.4.0
检测到 PttCodingMan/you-guys-post-too-many 一共引入了219个开源组件,存在1个漏洞
另外还有几个漏洞,详细报告:https://mofeisec.com/jr?p=i8f166