mdBook 安全公告

2021 年 1 月 4 日 · Rust 安全响应工作组

这是对 官方安全公告 的交叉发布。官方帖子还包含使用我们的 PGP 密钥签名的版本。

Rust 安全响应工作组最近收到通知,mdBook 的搜索功能存在安全问题,可能允许攻击者在页面上执行任意 JavaScript 代码。

此漏洞的 CVE 为 CVE-2020-26297

概述

mdBook 的搜索功能(在 0.1.4 版本中引入)受到跨站点脚本漏洞的影响,该漏洞允许攻击者通过诱使用户输入恶意搜索查询或诱使用户点击带有恶意搜索查询预填充的搜索页面链接,在用户的浏览器上执行任意 JavaScript 代码。

mdBook 0.4.5 通过正确转义搜索查询来修复漏洞。

缓解措施

使用 mdBook 构建网站的所有者必须升级到 mdBook 0.4.5 或更高版本,并使用它重建其网站内容。可以使用以下命令在本地系统上安装 mdBook 0.4.5:

cargo install mdbook --version 0.4.5 --force

致谢

感谢 Kamil Vavra 按照 我们的安全策略 负责任地向我们披露了漏洞。

事件时间线

所有时间均以 UTC 表示。

  • 2020-12-30 20:14 - 问题报告给 Rust 安全响应工作组
  • 2020-12-30 20:32 - 问题得到确认,调查开始
  • 2020-12-30 21:21 - 找到漏洞原因并准备补丁
  • 2021-01-04 15:00 - 发布补丁版本并公开漏洞