zmartzone mod_auth_openidc 在web页面生成时对输入的转义处理不恰当（跨站脚本）

CVE编号

CVE-2021-32792

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-07-27

漏洞描述

mod_auth_openidc is an authentication/authorization module for the Apache 2.x HTTP server that functions as an OpenID Connect Relying Party, authenticating users against an OpenID Connect Provider. In mod_auth_openidc before version 2.4.9, there is an XSS vulnerability in when using `OIDCPreservePost On`.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/zmartzone/mod_auth_openidc/commit/00c315cb0c8ab77c67be4a2a...
https://github.com/zmartzone/mod_auth_openidc/commit/55ea0a085290cd2c8cdfdd96...
https://github.com/zmartzone/mod_auth_openidc/releases/tag/v2.4.9
https://github.com/zmartzone/mod_auth_openidc/security/advisories/GHSA-458c-7pwg-3j7j
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	http_server	*	From (including) 2.0.0	Up to (including) 2.4.48
	运行在以下环境
	应用	zmartzone	mod_auth_openidc	*		Up to (excluding) 2.4.9
	运行在以下环境
	系统	debian_10	mod_auth_openidc	*		Up to (excluding) 2.3.10.2-1
	运行在以下环境
	系统	debian_11	mod_auth_openidc	*		Up to (excluding) 2.4.4.1-2
	运行在以下环境
	系统	debian_9	mod_auth_openidc	*		Up to (excluding) 2.1.6-1
	运行在以下环境
	系统	debian_sid	mod_auth_openidc	*		Up to (excluding) 2.4.4.1-2
	运行在以下环境
	系统	fedora_33	mod_auth_openidc	*		Up to (excluding) 2.4.9-1.fc33
	运行在以下环境
	系统	fedora_34	mod_auth_openidc	*		Up to (excluding) 2.4.9-1.fc34
	运行在以下环境
	系统	fedora_35	mod_auth_openidc	*		Up to (excluding) 2.4.9-1.fc35
	运行在以下环境
	系统	opensuse_Leap_15.2	mod_auth_openidc	*		Up to (excluding) 2.3.8-lp152.5.6.1
	运行在以下环境
	系统	opensuse_Leap_15.3	mod_auth_openidc	*		Up to (excluding) 2.3.8-3.15.1
	运行在以下环境
	系统	suse_12_SP5	mod_auth_openidc	*		Up to (excluding) 2.4.0-3.23.1
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）