Play Framework 安全公告

XSS

日期

2016 年 3 月 1 日

說明

在 Secure 模組的登入頁面中發現 XSS 漏洞。

影響

任何使用 Secure 模組預設登入頁面的應用程式。

受影響版本

• Play 1.2.0 - 1.2.7
• Play 1.3.0 - 1.3.3
• Play 1.4.0 - 1.4.1

解決方法

將 modules\secure\app\views\Secure\login.html

&{flash.error} 

變更為

${messages.get(flash.error)}

以及

&{flash.success} 

變更為

${messages.get(flash.success)}

修正

升級到以下適當版本

• Play 1.3.4
• Play 1.4.2

致謝

發現此漏洞的功勞歸於 ElevenPaths 的 Ricardo Martín。