阿里云漏洞库

CVE编号

CVE-2017-15881

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-10-25

KeystoneJS是一个开源的用于开发数据库驱动的网站、应用程序和API的框架。

KeystoneJS 4.0.0-beta.7之前的版本中存在跨站脚本漏洞。远程攻击者可借助‘content brief’或‘content extended’字段利用该漏洞注入任意的Web脚本或HTML。

厂商已发布漏洞修复程序，请及时关注更新：
https://github.com/keystonejs/keystone/pull/4478

参考链接
http://blog.securelayer7.net/keystonejs-open-source-penetration-testing-report/
http://www.securityfocus.com/bid/101541
https://github.com/keystonejs/keystone/issues/4437
https://github.com/keystonejs/keystone/pull/4478

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）