这是 官方安全公告 的交叉发布。 官方帖子还包含我们 PGP 密钥签名的版本。

Rust 安全响应工作组最近收到通知，mdBook 的搜索功能存在安全问题，攻击者可以通过该问题在页面上执行任意 JavaScript 代码。

此漏洞的 CVE 为 CVE-2020-26297。

概述

mdBook 的搜索功能（在 0.1.4 版本中引入）受跨站脚本漏洞的影响，该漏洞允许攻击者通过诱骗用户输入恶意搜索查询，或诱骗用户点击带有预填充恶意搜索查询的搜索页面链接，在用户的浏览器上执行任意 JavaScript 代码。

mdBook 0.4.5 通过正确转义搜索查询修复了该漏洞。

缓解措施

使用 mdBook 构建的网站的所有者必须升级到 mdBook 0.4.5 或更高版本，并使用它重新构建其网站内容。 可以使用以下命令在本地系统上安装 mdBook 0.4.5：

cargo install mdbook --version 0.4.5 --force

鸣谢

感谢 Kamil Vavra 根据 我们的安全政策 负责任地向我们披露了该漏洞。

事件时间线

所有时间均以 UTC 列出。

• 2020-12-30 20:14 - 该问题报告给 Rust 安全响应工作组
• 2020-12-30 20:32 - 该问题得到确认，调查开始
• 2020-12-30 21:21 - 找到漏洞原因并准备好补丁
• 2021-01-04 15:00 - 发布修补版本并披露漏洞