来自 URL 参数的 XSS 注入
日期
2015 年 5 月 5 日
描述
在 Play 的 URL 渲染中发现了一个 XSS 漏洞。
影响
任何使用 Play 的 URL 渲染的应用程序。
受影响的版本
- Play 1.2.0 - 1.2.7
- Play 1.3.0
解决方法
在使用参数之前对其进行编码。
@{Controller.action(parameterWithInjection?.urlEncode())}
修复
升级到以下适当的版本
CVSS 指标 (更多信息)
- 基础:5.8
AV:N/AC:M/Au:N/C:P/I:P/A:N - 时间:4.5
E:POC/RL:OF/RC:C - 环境:4.2
CDP:ND/TD:M/CR:H/IR:H/AR:ND
环境得分假设典型的互联网系统。您组织的实际环境得分可能会有所不同。
致谢
感谢 ElevenPaths 的 Ricardo Martín 发现此漏洞。