Pagure跨站脚本漏洞

CVE编号

CVE-2019-11556

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-09-25

Pagure是一款使用Python编写的提供Web服务的Git仓库。 Pagure 5.6之前版本存在跨站脚本漏洞，该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://pagure.io/pagure/c/31a0d2950ed409550074ca52ba492f9b87ec3318?branch=ab39e95ed4dc8367e5e146e6d9a9fa6925b75618

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00066.html
http://lists.opensuse.org/opensuse-security-announce/2020-11/msg00007.html
https://docs.pagure.org/pagure/changelog.html
https://pagure.io/pagure/c/31a0d2950ed409550074ca52ba492f9b87ec3318?branch=ab...
https://pagure.io/pagure/commits/master

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	pagure	*		Up to (excluding) 5.6
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-ci	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-ev	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-loadjson	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-logcom	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-milters	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-mirror	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-theme-chameleon	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-theme-default-openSUSE	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-theme-default-upstream	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-theme-pagureio	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-theme-srcfpo	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-theme-upstream	*		Up to (excluding) 5.5-lp151.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.1	pagure-webhook	*		Up to (excluding) 5.5-lp151.2.3.1

CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

还没有评论，来说两句吧...