mdBook 安全公告

2021 年 1 月 4 日 · Rust 安全响应工作组

这是官方安全公告的交叉发布。官方帖子也包含使用我们 PGP 密钥签名的版本。

Rust 安全响应工作组最近收到了一项安全问题的通知,该问题影响 mdBook 的搜索功能,可能允许攻击者在页面上执行任意 JavaScript 代码。

此漏洞的 CVE 编号是 CVE-2020-26297

概述

mdBook 的搜索功能(在 0.1.4 版本中引入)受到跨站脚本漏洞的影响,攻击者可以通过诱骗用户输入恶意搜索查询,或者诱骗用户点击一个指向预填充了恶意搜索查询的搜索页面链接,从而在用户浏览器上执行任意 JavaScript 代码。

mdBook 0.4.5 通过正确转义搜索查询来修复此漏洞。

缓解措施

使用 mdBook 构建网站的所有者必须升级到 mdBook 0.4.5 或更高版本,并使用新版本重新构建他们的网站内容。可以通过以下命令在本地系统上安装 mdBook 0.4.5:

cargo install mdbook --version 0.4.5 --force

致谢

感谢 Kamil Vavra 根据我们的安全政策负责任地向我们披露了此漏洞。

事件时间线

所有时间均为 UTC 时间。

  • 2020-12-30 20:14 - 问题报告给 Rust 安全响应工作组
  • 2020-12-30 20:32 - 问题得到确认并开始调查
  • 2020-12-30 21:21 - 找到漏洞原因并准备好补丁
  • 2021-01-04 15:00 - 发布修补版本并披露漏洞