rdiffweb <2.4.1 存在点击劫持漏洞
漏洞描述 rdiffweb 是一个提供 Web 界面的备份管理软件。 Rdiffweb 2.4.1之前的版本由于对渲染 UI 层限制不当从而存在点击劫持漏洞。攻击者可利用此漏洞将易受攻击的站点嵌入到自己网站的透明 iframe 中,通过诱导用户点击看似正常的网站页面从而造成点击劫持攻击,导致用户在恶意网站上执行各种意外操作。 漏洞名称 rdiffweb <2.4.1 存在点击劫持漏洞 漏洞类型 渲染 UI 层或帧的不当限制 发现时间 2022-10-15 漏洞影响广度 极小 MPS编号 MPS-2022-56448 CVE编号 CVE-2022-3167 CNVD编号 - 影响范围 rdiffweb@(-∞, 2.4.1) 修复方案 升级rdiffweb到 2.4.1 或更高版本 参考链接 https://www.oscs1024.com/hd/MPS-2022-56448 https://huntr.dev/bounties/e5c2625b-34cc-4805-8223-80f2689e4e5c https://github.com/ikus060/rdiffweb/comm...
