从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号: - CVE-2024-6449 - CVE-2024-6450 2. 发布日期: - 2024年8月28日 3. 供应商: - HyperView 4. 受影响的产品: - Geoportal Toolkit 5. 受影响的版本: - 所有版本,包括8.2.4 6. 漏洞类型(CWE): - Permissive Cross-domain Policy with Untrusted Domains (CWE-942) - Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) 7. 报告来源: - 报告给CERT Polska 8. 描述: - 软件在获取远程内容时不会限制跨域请求,这使得未经授权的远程攻击者可以准备链接,这些链接在用户空间中打开时会加载由攻击者控制的远程位置的脚本并执行。通过操纵这个参数,还可以枚举本地网络中服务器所在的设备。这个漏洞已被分配为CVE-2024-6449。 - CVE-2024-6450允许反射型跨站脚本(XSS)攻击。未经授权的攻击者可以诱骗用户使用构造的URL,这将导致在用户浏览器中运行脚本。 9. 受影响的版本: - 所有版本,包括8.2.4 10. 感谢: - 感谢Dariusz Gońda报告了这个漏洞。 11. 更多信息: - 更多关于协调漏洞披露流程的信息可以在CERT Polska的网站上找到:https://cert.pl/en/cvd/