Snorby 2.6.2 - Stored Cross-site Scripting Vulnerability Summary Vulnerability Type: Stored Cross-site Scripting (XSS) 受影响版本: Snorby 2.6.2 Vendor: Snorby Description 在研究和测试新的入侵检测系统(如Suricata)的过程中,我发现Snorby的Web用户界面存在存储型XSS漏洞。此漏洞存在于添加新威胁分类模型的模块中,用户的输入在保存到数据库之前未正确进行清理,或者输出在事件/菜单代码中未正确过滤,从而导致攻击向量被执行。 Vulnerability Details 文件中的输出在渲染之前没有正确进行清理。 Mitigation 在Rails中,可以通过使用 来实现简单的XSS缓解。例如,以下代码通过从图像标签中移除 属性来过滤XSS向量。 Solution 更新到GitHub上的最新版本。 Disclosure Timeline 2015-06-30: Vendor notification 2015-06-30: CVE ID requested 2015-07-01: Vendor acknowledgement 2015-07-01: Vendor pushed a fix Credits Federico Fazzi (federico.fazzi@gmail.com)