CVE编号
CVE-2019-3826利用情况
暂无补丁情况
官方补丁披露时间
2019-03-27漏洞描述
在版本2.7.1之前的Prometheus中发现了存储的基于DOM的跨站点脚本(XSS)漏洞。攻击者可以通过说服经过身份验证的用户访问Prometheus服务器上的精心设计的URL来利用此功能,从而允许执行和持久存储任意脚本。<br>解决建议
厂商已发布漏洞修复程序,请及时关注更新:https://github.com/prometheus/prometheus/commit/62e591f9
参考链接 |
|
|---|---|
| https://access.redhat.com/errata/RHBA-2019:0327 | |
| https://advisory.checkmarx.net/advisory/CX-2019-4297 | |
| https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-3826 | |
| https://github.com/prometheus/prometheus/commit/62e591f9 | |
| https://github.com/prometheus/prometheus/pull/5163 | |
| https://lists.apache.org/thread.html/r48d5019bd42e0770f7e5351e420a63a41ff1f16... | |
| https://lists.apache.org/thread.html/r8e3f7da12bf5750b0a02e69a78a61073a2ac950... | |
| https://lists.apache.org/thread.html/rdf2a0d94c3b5b523aeff7741ae7134741527606... |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | prometheus | prometheus | * |
Up to (excluding) 2.7.1 |
|||||
| 运行在以下环境 | |||||||||
| 应用 | redhat | openshift_container_platform | 3.11 | - | |||||
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
还没有评论,来说两句吧...