阿里云漏洞库

漏洞描述

Cross-site Scripting (XSS) - Reflected in GitHub repository beancount/fava prior to 1.22.2.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/beancount/fava/commit/dccfb6a2f4567f35ce2e9a78e24f92ebf946bc9b
https://huntr.dev/bounties/2a1802d8-1c2e-4919-96a7-d4dcf7ffcf8f

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	fava_project	fava	*		Up to (excluding) 1.22.2
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	fava	*		Up to (excluding) 2.1.0-14.1.al7
	运行在以下环境
	系统	amazon_2	fava	*		Up to (excluding) 2.1.0-12.amzn2.0.3
	运行在以下环境
	系统	amazon_2022	fava	*		Up to (excluding) 2.4.7-1.amzn2022.0.1
	运行在以下环境
	系统	amazon_AMI	fava	*		Up to (excluding) 2.1.0-12.27.amzn1
	运行在以下环境
	系统	centos_7	fava	*		Up to (excluding) 2.1.0-14.el7_9
	运行在以下环境
	系统	centos_8	fava	*		Up to (excluding) 91.7.0-3.el8_5
	运行在以下环境
	系统	debian_10	fava	*		Up to (including) 1.9-4
	运行在以下环境
	系统	debian_11	fava	*		Up to (including) 1.18-1
	运行在以下环境
	系统	debian_12	fava	*		Up to (including) 1.20.1-2
	运行在以下环境
	系统	debian_sid	fava	*		Up to (including) 1.20.1-2
	运行在以下环境
	系统	fedora_34	fava	*		Up to (excluding) 2.4.6-1.fc34
	运行在以下环境
	系统	fedora_35	fava	*		Up to (excluding) 2.4.6-1.fc35
	运行在以下环境
	系统	opensuse_Leap_15.3	fava	*		Up to (excluding) 2.2.5-3.15.1
	运行在以下环境
	系统	oracle_7	fava	*		Up to (excluding) 91.7.0-3.0.1.el7_9
	运行在以下环境
	系统	oracle_8	fava	*		Up to (excluding) 91.7.0-3.0.1.el8_5
	运行在以下环境
	系统	redhat_6	expat	*		Up to (excluding) 0:2.0.1-14.el6_10
	运行在以下环境
	系统	redhat_7	firefox	*		Up to (excluding) 0:91.7.0-3.el7_9
	运行在以下环境
	系统	redhat_8	fava	*		Up to (excluding) 91.7.0-3.el8_5
	运行在以下环境
	系统	suse_12_SP5	fava	*		Up to (excluding) 2.1.0-21.18.1

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

已更改
用户交互

需要
可用性

无
保密性

低
完整性

低

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

fava_project fava 在web页面生成时对输入的转义处理不恰当（跨站脚本）

漏洞描述

解决建议

参考链接

受影响软件情况