Swagger-ui
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.42326
Распределение по критичности
Критический
1
Высокий
0
Средний
3
Низкий
0
Также сопоставлено как (исходные строки): swagger-ui
Топ уязвимостей
CVE-2019-17495Уязвимость внедрения каскадных таблиц стилей (CSS) в Swagger UI до 3.23.11 позволяет злоумышленникам использовать метод Relative Path Overwrite (RPO) для выполнения извлечения значений полей ввода на основе CSS, например, извлечения значения токена CSRF. Другими словами, этот продукт намеренно разрешает внедрение ненадежных данных JSON с удаленных серверов, но ранее не было известно, что <style>@import в данных JSON является функциональным методом атаки.
CVE-2021-46708Пакет swagger-ui-dist до версии 4.1.3 для Node.js может позволить удаленному злоумышленнику перехватить действие клика жертвы. Убедив жертву посетить вредоносный веб-сайт, удаленный злоумышленник может использовать эту уязвимость для перехвата действий клика жертвы и, возможно, запуска дальнейших атак против жертвы.
CVE-2016-5682Swagger-UI до версии 2.2.1 имеет XSS через поле Default в разделе Definitions.
CVE-2018-25031Swagger UI 4.1.2 и более ранние версии могут позволить удаленному злоумышленнику проводить атаки с подменой. Убедив жертву открыть специально созданный URL-адрес, злоумышленник может воспользоваться этой уязвимостью для отображения удаленных определений OpenAPI. Примечание: первоначально утверждалось, что проблема была решена в версии 4.1.3. Однако третьи стороны указали, что она не решена в версии 4.1.3 и даже встречается в этой версии и, возможно, в других.