CVE-2017-16043 — HTML Injection in shout

描述

Affected versions of `shout` do not escape the `/topic` command in messages, and are therefore vulnerable to cross-site scripting. ## Recommendation Update to version 0.50.0 or later.

如何修補 CVE-2017-16043

要修補 CVE-2017-16043,請將受影響套件升級到下列已修補版本。

npm/shout—升級至 0.50.0 或更新版本

CVE-2017-16043 正在被利用嗎?

低 — EPSS 為 0.3%,目前沒有觀察到大規模利用活動。

受影響套件(1)

>= 0.44.0, < 0.50.0

參考連結(4)

ADVISORYgithub.com/advisories/GHSA-26q7-g57v-mxcp
ADVISORYnvd.nist.gov/vuln/detail/CVE-2017-16043
WEBgithub.com/erming/shout/pull/344
WEBwww.npmjs.com/advisories/322