QtWeb 3.0 Builds 001和003没有在HTTP响应中正确的拦截刷新眉首和location头中的javascript:URIs和数据:URIs,这使得远程攻击者可以借助一些向量,执行跨站脚本攻击。这些向量涉及(1)注入一个包含javascript:URI的刷新头或(2)在详细说明刷新头的内容时,输入一个javascript:URI,或(3)注入一个包含data:text/html URI中的JavaScript序列的刷新头,(4)在详细说明刷新头的内容时,借助JavaScript序列输入一个data:text/html URI;(5)注入一个包含data:text/html URI中的JavaScript序列的Location头(6)在详细说明location头的内容时,借助JavaScript序列输入一个data:text/html URI。
建议您更新当前系统或软件至最新版,完成漏洞的修复。