漏洞标题
N/A
漏洞描述信息
Bugzilla 2.20rc1 到 2.20 和 2.21.1 使用 RSS 1.0时,允许远程攻击者通过具有 HTML 编码序列如 > 的标题元素进行跨站脚本攻击(XSS)。请注意:此问题并非出自 Bugzilla,而是由于 RSS 内部设计或文档不一致或 RSS 阅读器实现漏洞导致的。尽管此问题通常不会包含在 CVE 中,但由于 Bugzilla 开发人员已经解决了它,因此正在识别它。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Bugzilla 2.20rc1 through 2.20 and 2.21.1, when using RSS 1.0, allows remote attackers to conduct cross-site scripting (XSS) attacks via a title element with HTML encoded sequences such as ">", which are automatically decoded by some RSS readers. NOTE: this issue is not in Bugzilla itself, but rather due to design or documentation inconsistencies within RSS, or implementation vulnerabilities in RSS readers. While this issue normally would not be included in CVE, it is being identified since the Bugzilla developers have addressed it.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Bugzilla RSS阅读器 跨站脚本(XSS) 攻击
漏洞描述信息
Bugzilla 2.20rc1到2.20 和 2.21.1在使用RSS 1.0时,可以使远程攻击者借助带有HTML编码的">"等序列的,可由某些RSS阅读器自动解码的标题元素,进行跨站脚本(XSS) 攻击。注意:此问题不在于Bugzilla自身,而是由RSS内的设计或文档不一致,或RSS阅读器中的执行漏洞所致。虽然这种问题一般不纳入CVE,但由于Bugzilla开发者已经作了处理,所以对此进行了认定。
CVSS信息
N/A
漏洞类别
跨站脚本