漏洞标题
N/A
漏洞描述信息
在 Bugzilla 2.18.x 之前的 2.18.6、2.20.x 之前的 2.20.3、2.22.x 之前的 2.22.1 和 2.23.x 版本中,存在多个跨站脚本(XSS)漏洞,允许远程授权用户通过(1)使用 global/header.html.tmpl 中的 H1、H2 和 H3 HTML 标签的页面头信息来注入任意的 web 脚本或 HTML。(2)各种编辑 cgi 脚本中的某些项目的说明字段以及(3)显示依赖关系图.cgi 中的 id 参数来访问。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in Bugzilla 2.18.x before 2.18.6, 2.20.x before 2.20.3, 2.22.x before 2.22.1, and 2.23.x before 2.23.3 allow remote authenticated users to inject arbitrary web script or HTML via (1) page headers using the H1, H2, and H3 HTML tags in global/header.html.tmpl, (2) description fields of certain items in various edit cgi scripts, and (3) the id parameter in showdependencygraph.cgi.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Mozilla Bugzilla 多个跨站脚本漏洞
漏洞描述信息
Bugzilla是很多软件项目都在使用的基于Web的bug跟踪系统。 Bugzilla中存在多个安全漏洞,具体如下:由于没有正确地验证一些字段的输入及<h1>和<h2>在global/header.html.tmpl;标签嵌入的内容,确定列表在不同编辑CGI脚本. showdependencygraph.cgi中的ID参数.攻击者可以在用户浏览器对话框的环境中执行任意HTML和脚本代码。
CVSS信息
N/A
漏洞类别
跨站脚本