最后更新于2023年12月28日星期四14:44:20 GMT
此建议涵盖了在伶盗龙中识别并由安全代码审查披露的特定问题. 我们要感谢马赛厄斯Kujala与迅猛龙团队一起发现并纠正了这个问题. 这个问题在版本0中被修复了.7.《pg电子》,2023年11月6日上映.
CVSS·高·8.6/10 ·CVSS: 3.1 / AV: N /交流:L /公关:N / UI: N / S: U / C: H /我:L / L
- 得分情况: 一般
- attackVector: 网络
- attackComplexity: 低
- privilegesRequired: 没有一个
- userInteraction: 没有一个
- 范围: 不变
- confidentialityImpact: 高
- integrityImpact: 低
- availabilityImpact: 低
0之前的迅猛龙版本.7.0-4遭受反射的跨站点脚本漏洞. 该漏洞允许攻击者将JS注入到错误路径中, 可能导致在用户的web浏览器中执行未经授权的脚本. 此漏洞已在版本0中修复.7.0-4和补丁可供下载. 版本0也提供了补丁.6.9 (0.6.9-1). 此问题仅影响服务器.
问题
CWE-79在网页生成过程中输入的不当中和(“跨站脚本”)
修复
为了修复这些漏洞,迅猛龙的用户应该 升级他们的服务器.
产品状态
受影响产品:Rapid7之前的伶盗龙.7.0-4
学分
马赛厄斯Kujala
参考文献
文档.伶盗龙.应用程序/博客/ 2023/2023-07-27-release-notes-0.7.0/
时间轴
- 2023-11-02 -文档发布通知
- 2023-11-06 -正式发布.7.0-4在Github上可用