Apache Sling App CMS <1.1.4 存在反射型XSS漏洞
漏洞描述
Apache Sling 是一个基于可扩展内容树(extensible content tree)的 RESTful Web 应用框架。
1.1.4 之前版本的 Apache Sling 中的 cms.js#confirmMessage 方法未对用户可控的 title 和 message 参数进行过滤,攻击者可通过将恶意字符如(";alert('XSS'))加载到 startcontent.jsp 页面的 title 和 message 参数中,当用户访问该页面时远程执行恶意 javascript 代码。
| 漏洞名称 | Apache Sling App CMS <1.1.4 存在反射型XSS漏洞 |
|---|---|
| 漏洞类型 | XSS |
| 发现时间 | 2023-01-10 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2022-67148 |
| CVE编号 | CVE-2022-46769 |
| CNVD编号 | - |
影响范围
org.apache.sling:org.apache.sling.cms@[0.9.0, 1.1.4)
修复方案
升级org.apache.sling:org.apache.sling.cms到 1.1.4 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-67148
https://nvd.nist.gov/vuln/detail/CVE-2022-46769
https://github.com/advisories/GHSA-38m2-vr6g-8c94
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
CoSec v1.10.1 发布,基于 RBAC 和策略的多租户响应式安全框架
CoSec 基于 RBAC 和策略的多租户响应式安全框架。 更新内容(v1.10.1) 🎉 🎉 🎉 特性:新增ContainsConditionMatcher。 { "name": "TestContains", "effect": "allow", "actions": [ { "type": "all" } ], "condition": { "type": "contains", "part": "request.attributes.ipRegion", "pattern": "上海" } } 认证 授权 OAuth 建模类图 安全网关服务 授权策略流程 内置策略匹配器 ActionMatcher 如何自定义ActionMatcher(SPI) 参考RegularActionMatcher class CustomActionMatcherFactory : ActionMatcherFactory { companion object { const val TYPE = "[CustomActionType]" } ov...
- 下一篇
GitHub Enterprise Server 存在授权不当漏洞
漏洞描述 GitHub Enterprise Server 是一个用于企业内部的软件开发的自托管的平台。 Workflow scope 是 GitHub Enterprise Server 的一种身份认证标识,只有经过 Workflow scope 身份认证的用户才可以添加或修改 GitHub Actions workflow 文件,除非该文件存储于同一存储库的另一个分支上。 在 GitHub Enterprise Server 的受影响版本中,修改 Actions workflow 文件的 api 接口没有强制 workflow scope 身份认证,具有存储库读写访问权限(repository-scoped token)的攻击者可在没有 Workflow scope 身份认证的情况下修改 Action Workflow 文件。 漏洞名称 GitHub Enterprise Server 存在授权不当漏洞 漏洞类型 授权机制不正确 发现时间 2023-01-10 漏洞影响广度 广 MPS编号 MPS-2022-65651 CVE编号 CVE-2022-46258 CNVD编号 - 影...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2全家桶,快速入门学习开发网站教程
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS6,7,8上安装Nginx,支持https2.0的开启
微信收款码
支付宝收款码