漏洞信息详情

Wicket JQuery UI WYSIWYG编辑器安全漏洞

• CNNVD编号：CNNVD-201710-1007
• 危害等级： 中危
  
• CVE编号： CVE-2017-15719
• 漏洞类型： 跨站脚本
• 发布时间： 2017-10-23
• 威胁类型： 远程
• 更新时间： 2019-06-13
• 厂        商： wicket-JQuery-ui_project
• 漏洞来源：

漏洞简介

Wicket JQuery UI是一款提供了所有JQuery UI集成的API。WYSIWYG editor是其中的一个编辑器。

Wicket JQuery UI 6.28.0及之前版本、7.9.1及之前版本和8.0.0-M8及之前版本中的WYSIWYG编辑器存在安全漏洞。攻击者可利用该漏洞向WYSIWYG边界器中提交任意的js代码。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

http://www.7thweb.net/wicket-JQuery-ui/

参考网址

来源:CONFIRM

链接:http://openmeetings.apache.org/security.HTML#_toc_cve-2017-15719_-_wicket_JQuery_ui_xss_in_wysiwyg_e

来源:CONFIRM

链接:https://github.com/sebfz1/wicket-JQuery-ui/wiki#cve-2017-15719---xss-in-wysiwyg-editor

受影响实体

• Wicket-JQuery-Ui_project Wicket-JQuery-Ui:7.9.1  
• Wicket-JQuery-Ui_project Wicket-JQuery-Ui:8.0.0:M8  
• Wicket-JQuery-Ui_project Wicket-JQuery-Ui:8.0.0:M7  
• Wicket-JQuery-Ui_project Wicket-JQuery-Ui:8.0.0:M6  
• Wicket-JQuery-Ui_project Wicket-JQuery-Ui:8.0.0:M5  

补丁

• Wicket JQuery UI WYSIWYG编辑器安全漏洞的修复措施