发布日期：2019-10-10
更新日期：2020-08-20

受影响系统：

Swagger UI  < 3.23.11

描述：

---

CVE(CAN) ID: CVE-2019-17495

Swagger UI是一款支持可视化API资源并能够与之进行交互的开源工具。
Swagger UI 3.23.11之前版本存在CSS注入漏洞。该漏洞源于程序在对JSON数据中的<style>@import是一种功能性攻击方法不知情的情况下允许来自远程服务器的不可信JSON数据的嵌入。攻击者可利用该漏洞通过使用相对路径覆盖（RPO）攻击技术提取基于css的输入字段值，如提取CSRF令牌值。

<**>

建议：

---

厂商补丁：

Swagger UI
----------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/swagger-api/swagger-ui/releases/tag/v3.23.11

浏览次数：1923
严重程度：0（网友投票）