阿里云漏洞库

snipeitapp snipe-it 在web页面生成时对输入的转义处理不恰当（跨站脚本）

CVE编号

CVE-2021-4108

利用情况

暂无

补丁情况

N/A

披露时间

2021-12-15

漏洞描述

snipe-it is vulnerable to Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/snipe/snipe-it/commit/9d5d1a9f9aae2c8baee48551185da5de0cdb62c2
https://huntr.dev/bounties/5069a037-040e-4d77-8526-846e65edfaf4

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	snipeitapp	snipe-it	*		Up to (excluding) 5.3.5
	运行在以下环境
	系统	amazon_2	docker	*		Up to (excluding) 20.10.7-3.amzn2
	运行在以下环境
	系统	amazon_AMI	docker	*		Up to (excluding) 20.10.7-3.71.amzn1
	运行在以下环境
	系统	opensuse_Leap_15.2	docker	*		Up to (excluding) 20.10.9_ce-lp152.2.18.1
	运行在以下环境
	系统	opensuse_Leap_15.3	docker	*		Up to (excluding) 20.10.9_ce-156.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	docker.io	*		Up to (excluding) 20.10.7-0ubuntu1~18.04.2

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

已更改
用户交互

需要
可用性

无
保密性

低
完整性

低

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）