Unsanitized vhost names allow for XSS in RabbitMQ management UI (CVE-2020-44839)

漏洞概述 漏洞名称: Unsanitized vhost names allow for XSS in management UI 描述: 未清理的虚拟主机名称允许在管理UI页面中执行跨站脚本攻击（XSS）。如果攻击者能够找到一种方法来强制虚拟主机重启，他们可以在虚拟主机页面中注入恶意脚本。 严重性: 中等（5.6 / 10） 影响范围 受影响版本: > 3.7.0 修复版本: >= 4.1.2, >= 4.0.13 CVSS v3 基础指标: - 攻击向量: 网络 - 攻击复杂度: 高 - 攻击要求: 无 - 特权要求: 高 - 用户交互: 活跃 - 影响指标: - 机密性: 高 - 完整性: 无 - 可用性: 无 - 后续系统影响指标: - 机密性: 无 - 完整性: 无 - 可用性: 无 修复方案 修复版本: >= 4.1.2, >= 4.0.13 CVE ID: CVE-2020-44839 弱点: CVE-80 详细信息 摘要: 未清理的虚拟主机名称允许在管理UI页面中执行跨站脚本攻击（XSS）。如果攻击者能够找到一种方法来强制虚拟主机重启，他们可以在虚拟主机页面中注入恶意脚本。 细节: 相关的代码块是在 中引入的。在 和 中，表单用于重启死虚拟主机，但没有使用 清理器。这不会导致问题，因为表单的功能不受影响。 影响: 由于虚拟主机名称没有长度限制（据我所知），XSS 脚本可以任意长。它需要能够创建虚拟主机以及某种方式杀死它们，并且需要访问恶意虚拟主机的页面。 代码块 其他信息 报告者: the-mikedavis 报告时间: 3 周前 Moderator: michaelklishin

目標達成すべての支援者に感謝 — 100%達成しました！

Unsanitized vhost names allow for XSS in RabbitMQ management UI (CVE-2020-44839)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Unsanitized vhost names allow for XSS in RabbitMQ management UI (CVE-2020-44839)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！