关键信息总结 CVE编号: CVE-2014-5391 漏洞类型: DOM-based Cross-Site Scripting (XSS) (CWE-79) 受影响产品: JobScheduler 工作负载自动化工具 供应商 公司名: Software- & Organisations-Service GmbH 受影响版本 版本号: - 1.7.x 版本 < 1.7.4241 - 1.6.x 版本 < 1.6.4246 补丁 补丁发布: - 1.7.x 版本 补丁在此 http://www.sos-berlin.com/modules/news/article.php?storyid=73 - 1.6.x 版本 补丁在此 http://www.sos-berlin.com/modules/news/article.php?storyid=74 报告人 报告人: Christian Schneider (@cschneider4711) 严重程度 等级: 中等 描述 漏洞说明: 使用特殊构造的请求访问 JobScheduler 的 Web 界面时, 可以执行 DOM-based XSS 攻击, 具体是通过将 location.hash 写入到 HTML 中引起的。 证明概念 说明: 由于负责任的披露流程, 不会提供具体的漏洞利用代码。 参考链接 相关公告1 相关公告2 相关公告3