阿里云漏洞库

Foreman up to 1.12.1 Plugin form_helper.rb 跨站脚本攻击

CVE编号

CVE-2016-6319

利用情况

暂无

补丁情况

N/A

披露时间

2016-08-20

漏洞描述

Foreman是一套用于物理和虚拟服务器中的生命周期管理工具。该工具提供服务开通、配置管理以及报告状态等功能。

Foreman中存在HTML注入漏洞，该漏洞源于程序未能充分过滤用户提交的输入。当用户浏览受影响的网站时，其浏览器将执行攻击者提供的任意HTML或脚本代码。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://github.com/theforeman/foreman/commit/2af7c64a3b9c2699a3131483bc2344b50c138542#diff-d07b3cdd6c00768e06bfed349d3c808fR157

参考链接
http://projects.theforeman.org/issues/16019
http://projects.theforeman.org/issues/16024
http://www.securityfocus.com/bid/92429
https://access.redhat.com/errata/RHSA-2018:0336
https://bugzilla.redhat.com/show_bug.cgi?id=1365815
https://github.com/theforeman/foreman/commit/0f35fe14acf0d0d3b55e9337bc5e2b9640ff2372
https://theforeman.org/security.html#2016-6319

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	theforeman	foreman	*		Up to (including) 1.12.1

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

已更改
用户交互

需要
可用性

无
保密性

低
完整性

低

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Foreman up to 1.12.1 Plugin form_helper.rb 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况