來自 URL 參數的 XSS 注入
日期
2015 年 5 月 5 日
說明
在 Play 的 URL 呈現中發現 XSS 漏洞。
影響
任何使用 Play URL 呈現的應用程式。
受影響版本
- Play 1.2.0 - 1.2.7
- Play 1.3.0
解決方法
在使用參數之前先編碼,
@{Controller.action(parameterWithInjection?.urlEncode())}
修正
升級到以下適當版本
CVSS 指標 (更多資訊)
- 基礎:5.8
AV:N/AC:M/Au:N/C:P/I:P/A:N - 時間:4.5
E:POC/RL:OF/RC:C - 環境:4.2
CDP:ND/TD:M/CR:H/IR:H/AR:ND
環境評分假設為典型的網際網路系統。組織的實際環境評分可能有所不同。
致謝
發現此漏洞的功勞歸於 ElevenPaths 的 Ricardo Martín。