Bootstrap up to 3.3.x Affix Configuration 跨站脚本攻击

CVE编号

CVE-2018-20677

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-01-09

漏洞描述

在3.4.0之前的Bootstrap中，可以在affix配置目标属性中使用XSS。<br>

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://github.com/twbs/bootstrap/pull/27047

参考链接
https://access.redhat.com/errata/RHBA-2019:1076
https://access.redhat.com/errata/RHBA-2019:1570
https://access.redhat.com/errata/RHSA-2019:1456
https://access.redhat.com/errata/RHSA-2019:3023
https://access.redhat.com/errata/RHSA-2020:0132
https://access.redhat.com/errata/RHSA-2020:0133
https://blog.getbootstrap.com/2018/12/13/bootstrap-3-4-0/
https://github.com/twbs/bootstrap/issues/27045
https://github.com/twbs/bootstrap/issues/27915#issuecomment-452140906
https://github.com/twbs/bootstrap/issues/27915#issuecomment-452196628
https://github.com/twbs/bootstrap/pull/27047
https://lists.apache.org/thread.html/52e0e6b5df827ee7f1e68f7cc3babe61af3b2160...
https://lists.apache.org/thread.html/rd0e44e8ef71eeaaa3cf3d1b8b41eb25894372e2...
https://www.tenable.com/security/tns-2021-14

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	getbootstrap	bootstrap	*		Up to (excluding) 3.4.0
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	ipa	*		Up to (excluding) 4.6.8-5.1.al7
	运行在以下环境
	系统	amazon_2	ipa	*		Up to (excluding) 4.6.8-5.amzn2
	运行在以下环境
	系统	centos_8	ipa	*		Up to (excluding) 4.8.7-12.module+el8.3.0+8222+c1bff54a
	运行在以下环境
	系统	debian_9	ipa	*		Up to (excluding) 3.3.7+dfsg-2+deb9u1
	运行在以下环境
	系统	oracle_7	ipa	*		Up to (excluding) 4.6.8-5.0.1.el7
	运行在以下环境
	系统	oracle_8	ipa	*		Up to (excluding) 0.6.0-3.module+el8.3.0+7868+2151076c
	运行在以下环境
	系统	redhat_8	ipa	*		Up to (excluding) 4.8.7-12.module+el8.3.0+8222+c1bff54a
查看完整数据

阿里云评分 4.9

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）