发布日期：2023-03-28
更新日期：2023-05-29

受影响系统：

Smarty Smarty < 4.3.1
Smarty Smarty < 3.1.48

描述：

---

CVE(CAN) ID: CVE-2023-28447

Smarty是基于PHP的模板引擎，有助于将表示（HTML/CSS）与应用程序逻辑分离。
Smarty 4.3.1之前版本和3.1.48之前版本存在跨站脚本漏洞，该漏洞源于程序未对JavaScript代码进行正确转义，攻击者可利用该漏洞以用户的浏览器会话权限执行任意JavaScript代码，进而泄露用户的敏感数据。

<**>

建议：

---

厂商补丁：

Smarty
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/smarty-php/smarty/commit/685662466f653597428966d75a661073104d713d

浏览次数：417
严重程度：0（网友投票）