关键漏洞信息 厂商: mistserver.org 产品: MistServer v2.12 漏洞类型: 未认证的持久性 XSS CVE编号: CVE-2017-16884 安全问题: 未经授权的远程攻击者可以通过发送失败的 HTTP 认证请求来注入持久性 XSS 有效负载。攻击者提供的有效负载将被存储在服务器日志中,由于 UI 的自动刷新,MistServer 将在 Web 界面上自动回显这些未清理的有效负载,从而执行任意攻击者提供的代码。 网络访问: 远程 严重程度: 高 披露时间线: - 厂商通知: 2017年10月19日 - 厂商确认: 2017年10月20日 - 厂商发布修复: 2017年11月30日 - 公开披露: 2017年12月1日 漏洞利用示例 利用此漏洞可以在目标服务器上注入恶意代码、加载恶意软件或窃取日志。