中危 导入 xml 模板文件时存在跨站脚本漏洞 (CVE-2023-50250)
CVE编号
CVE-2023-50250利用情况
暂无补丁情况
官方补丁披露时间
2023-12-23漏洞描述
Cacti是一个开源的运营监控和故障管理框架。在版本1.2.25中发现了一种反射型跨站脚本漏洞。攻击者可以利用此漏洞代表其他用户执行操作。漏洞位于`templates_import.php`中。在上传XML模板文件时,如果XML文件未通过检查,服务器将弹出一个JavaScript提示框,其中包含未经过滤的XML模板文件名,导致XSS攻击。利用此漏洞的攻击者可以执行代表其他用户的操作。冒充用户的能力可能导致未经授权的设置更改。截至发布时间,尚无修补版本可用。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/Cacti/cacti/blob/5f6f65c215d663a775950b2d9db35edbaf07d680/... | |
| https://github.com/Cacti/cacti/security/advisories/GHSA-xwqc-7jc4-xm73 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | cacti | * | Up to (excluding) 1.2.2+ds1-2+deb10u4 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | cacti | * | Up to (excluding) 1.2.16+ds1-2+deb11u1 | |||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论