关键信息 漏洞概述 漏洞类型: Cross-site Scripting (XSS) 受影响包: 版本: 无固定修复版本 漏洞详情 描述: 由于不安全的页面缓存, 的某些版本容易受到跨站脚本攻击(XSS)。攻击者可以注入恶意脚本到受信任的网站中,当用户与该网站交互时,这些脚本会在用户的浏览器中执行。 严重性: CVSS评分4.2,中等风险 攻击类型 影响环境 Web服务器 应用程序服务器 Web应用环境 防护措施 在HTTP请求中验证所有输入数据,在反射回用户之前进行过滤或转义。 对特殊字符进行编码。 给用户提供禁用客户端脚本的选项。 重定向无效请求。 使用Content Security Policy来禁用可能被用于XSS攻击的功能。 参考资料 PoC CVSS基础分数 Snyk: 4.2 中等风险 NVD: 6.1 中等风险 Red Hat: 4.5 中等风险