跨站脚本 (XSS)
日期
2016 年 3 月 1 日
描述
在 Secure 模块登录页面中发现了一个 XSS 漏洞。
影响
使用 Secure 模块默认登录页面的任何应用程序。
受影响的版本
- Play 1.2.0 - 1.2.7
- Play 1.3.0 - 1.3.3
- Play 1.4.0 - 1.4.1
解决方法
更改 modules\secure\app\views\Secure\login.html
&{flash.error}
为
${messages.get(flash.error)}
和
&{flash.success}
为
${messages.get(flash.success)}
修复
升级到以下适当的版本
致谢
发现此漏洞的功劳归于 ElevenPaths 的 Ricardo Martín。