发布日期：2023-03-28

更新日期：2023-05-29

受影响系统：

Smarty Smarty < 4.3.1

Smarty Smarty < 3.1.48

描述：

CVE(CAN) ID: CVE-2023-28447

Smarty是基于PHP的模板引擎，有助于将表示（HTML/CSS）与应用程序逻辑分离。

Smarty 4.3.1之前版本和3.1.48之前版本存在跨站脚本漏洞，该漏洞源于程序未对JavaScript代码进行正确转义，攻击者可利用该漏洞以用户的浏览器会话权限执行任意JavaScript代码，进而泄露用户的敏感数据。

< **>

建议：

厂商补丁：

Smarty

------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/smarty-php/smarty/commit/685662466f653597428966d75a661073104d713d

浏览次数：19

严重程度：0（网友投票）