ZeroClipboard 1.0.5/1.0.7 ZeroClipboard.swf 跨站脚本攻击

CVE编号

CVE-2013-1808

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-04-02

漏洞描述

ZeroClipboard是通过flash+js实现复制到剪切板功能,浏览器兼容性好。
ZeroClipboard存在跨站脚本漏洞。攻击者可以利用漏洞通过id参数注入任意web脚本或HTML。

解决建议

用户可联系供应商获得补丁信息：

https://www.djangoproject.com/

参考链接
http://seclists.org/fulldisclosure/2013/Apr/87
http://seclists.org/fulldisclosure/2013/Apr/88
http://seclists.org/fulldisclosure/2013/Feb/103
http://seclists.org/fulldisclosure/2013/Feb/109
http://seclists.org/fulldisclosure/2013/Mar/5
http://securityvulns.ru/docs29103.html
http://securityvulns.ru/docs29104.html
http://securityvulns.ru/docs29105.html
http://www.cloudbees.com/jenkins-advisory/jenkins-security-advisory-2013-05-02.cb
http://www.openwall.com/lists/oss-security/2013/03/03/3
http://www.openwall.com/lists/oss-security/2013/03/10/2
http://www.openwall.com/lists/oss-security/2013/03/25/1
http://www.openwall.com/lists/oss-security/2013/03/26/8
http://www.securityfocus.com/bid/58257
https://github.com/jonrohan/ZeroClipboard/blob/master/docs/releases.md#zerocl...
https://github.com/jonrohan/ZeroClipboard/commit/a0e02933f5f7ce5f364fbad36a00...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	zeroclipboard_project	zeroclipboard	*		Up to (including) 1.0.7
	运行在以下环境
	应用	zeroclipboard_project	zeroclipboard	1.0.5	-
	运行在以下环境
	系统	debian_10	db4o	*		Up to (excluding) 8.0.184.15484+dfsg2-3
	运行在以下环境
	系统	debian_11	db4o	*		Up to (excluding) 8.0.184.15484+dfsg2-3.1
	运行在以下环境
	系统	debian_12	db4o	*		Up to (excluding) 8.0.184.15484+dfsg2-3.1
	运行在以下环境
	系统	debian_9	db4o	*		Up to (excluding) 8.0.184.15484+dfsg2-3
	运行在以下环境
	系统	debian_sid	db4o	*		Up to (excluding) 8.0.184.15484+dfsg2-3.1
查看完整数据

阿里云评分 2.3

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 -

CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）