阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
应用程序
CVE-2010-4570
低危
Mozilla Bugzilla 3.7.1/3.7.2/3.7.3/4.0 跨站脚本攻击
CVE编号
CVE-2010-4570
利用情况
暂无
补丁情况
官方补丁
披露时间
2011-01-29
漏洞描述
Bugzilla是一款开源的缺陷跟踪系统。Bugzilla存在安全漏洞,部分传递给URL字段的输入在使用之前缺少过滤,可被利用注入HTML和脚本代码,如果目标用户查看恶意数据时,攻击者可利用此漏洞在受影响的应用程序中运行任意代码。
解决建议
Bugzilla 3.2.10, 3.4.10或3.6.4已经修复此漏洞,建议用户下载使用:http://www.bugzilla.org/
参考链接
http://osvdb.org/70702
http://www.bugzilla.org/security/3.2.9/
http://www.securityfocus.com/bid/45982
http://www.vupen.com/english/advisories/2011/0207
http://www.vupen.com/english/advisories/2011/0271
http://yuilibrary.com/forum/viewtopic.php?p=12923
http://yuilibrary.com/projects/yui2/ticket/2529228
https://bugzilla.mozilla.org/show_bug.cgi?id=619648
https://exchange.xforce.ibmcloud.com/vulnerabilities/65179
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
mozilla
bugzilla
3.7.1
-
运行在以下环境
应用
mozilla
bugzilla
3.7.2
-
运行在以下环境
应用
mozilla
bugzilla
3.7.3
-
运行在以下环境
应用
mozilla
bugzilla
4.0
-
运行在以下环境
系统
fedora_EPEL_5
bugzilla
*
Up to
(excluding)
3.2.10-2.el5
运行在以下环境
系统
fedora_EPEL_6
bugzilla
*
Up to
(excluding)
3.4.12-1.el6
阿里云评分
3.6
攻击路径
远程
攻击复杂度
容易
权限要求
无需权限
影响范围
有限影响
EXP成熟度
未验证
补丁情况
官方补丁
数据保密性
无影响
数据完整性
传输被破坏
服务器危害
无影响
全网数量
N/A
CWE-ID
漏洞类型
CWE-79
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×