Xibo CMS 中标头和会话网格中通过 XSS 攻击进行会话劫持 (CVE-2024-29022)
CVE编号
CVE-2024-29022利用情况
暂无补丁情况
N/A披露时间
2024-04-13漏洞描述
Xibo是一个开源的数字标牌平台,拥有网页内容管理系统和Windows显示播放器软件。在受影响的版本中,某些请求头在存储在会话和显示表中时没有正确地经过清理。这些请求头可以被用来注入恶意脚本到会话页面,以窃取会话ID和用户代理。这些会话ID/用户代理随后可以被用来劫持活动会话。恶意脚本可以被注入到显示栅格中,以窃取与显示相关的信息。用户应升级至修复此问题的版本3.3.10或4.0.9。将CMS托管在Xibo标牌服务中的客户已经收到了升级或补丁,以解决这个问题,无论他们运行的CMS版本是什么。升级至修复版本对于纠正此问题是必要的。对于不受安全支持的早期版本的Xibo CMS,提供了补丁:2.3补丁ebeccd000b51f00b9a25f56a2f252d6812ebf850.diff,1.8补丁a81044e6ccdd92cc967e34c125bd8162432e51bc.diff。对于这个问题目前没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 高
- 保密性 高
- 完整性 高
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论