Межсайтовый скриптинг в RabbitMQ
- Дата публикации:
- 03.02.2015
- Дата изменения:
- 03.02.2015
- Всего просмотров:
- 1010
- Опасность:
- Низкая
- Наличие исправления:
- Да
- Количество уязвимостей:
- 5
- CVSSv2 рейтинг:
-
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7 - CVE ID:
- CVE-2015-0862
- Вектор эксплуатации:
- Удаленная
- Воздействие:
- Межсайтовый скриптинг
- CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
- RabbitMQ 3.x
RabbitMQ до 3.4.3
Описание:
Уязвимости позволяют удаленному пользователю осуществить XSS-атаку.
1) Уязвимость существует из-за ошибки при обработке входных данных, связанных с именами ключей таблиц. Удаленный пользователь может вставить произвольные HTTP-заголовки в ответ, возвращаемый пользователю.
2) Уязвимость существует из-за ошибки при обработке входных данных, связанных с именами политик. Удаленный пользователь может вставить произвольные HTTP-заголовки в ответ, возвращаемый пользователю.
3) Уязвимость существует из-за ошибки при обработке входных данных, связанных с деталями клиента в списке соединений. Удаленный пользователь может вставить произвольные HTTP-заголовки в ответ, возвращаемый пользователю.
4) Уязвимость существует из-за ошибки при обработке входных данных, связанных с именами пользователей в списке vhosts. Удаленный пользователь может вставить произвольные HTTP-заголовки в ответ, возвращаемый пользователю.
5) Уязвимость существует из-за ошибки при обработке входных данных, связанных с именами кластеров. Удаленный пользователь может вставить произвольные HTTP-заголовки в ответ, возвращаемый пользователю.
URL производителя: http://www.rabbitmq.com/
Решение: Установите исправление с сайта производителя.
Ссылки: https://www.rabbitmq.com/release-notes/README-3.4.3.txt