CVE-2012-5881

描述

Cross-site scripting (XSS) vulnerability in the Flash component infrastructure in YUI 2.4.0 through 2.9.0 allows remote attackers to inject arbitrary web script or HTML via vectors related to charts.swf, a similar issue to CVE-2010-4207.

如何修補 CVE-2012-5881

目前尚未發布修補版本。可考慮移除受影響套件,或參考下方連結中的上游建議。

• npm/yui2—未列出修補版本

CVE-2012-5881 正在被利用嗎?

低 — EPSS 為 0.3%,目前沒有觀察到大規模利用活動。

受影響套件(1)

• >= 2.4.0, <= 2.9.0

參考連結(6)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2012-5881
• WEBexchange.xforce.ibmcloud.com/vulnerabilities/80118
• WEBwww.securityfocus.com/bid/56385
• WEBwww.yuiblog.com/blog/2012/10/30/security-announcement-swf-vulnerability-in-yui-2