漏洞标题
N/A
漏洞描述信息
iTop(也被称为IT操作门户)1.1.181和1.2.0-RC-282中的多个跨站脚本(XSS)漏洞允许远程攻击者通过(1)精心 crafted的公司名称,(2)精心 crafted的数据库服务器名称,(3)精心 crafted的CSV文件,(4)精心 crafted的复制和粘贴动作,(5)建议_pwd动作中的 auth_user 参数到UI.php,(6)将c[menu]参数发送到UniversalSearch.php,(7)SearchFormToAdd_document_list动作中的描述参数到UI.php,(8)错误动作中的类别参数到 audit.php,或(9)将建议_pwd参数发送到UI.php。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site scripting (XSS) vulnerabilities in iTop (aka IT Operations Portal) 1.1.181 and 1.2.0-RC-282 allow remote attackers to inject arbitrary web script or HTML via (1) a crafted company name, (2) a crafted database server name, (3) a crafted CSV file, (4) a crafted copy-and-paste action, (5) the auth_user parameter in a suggest_pwd action to UI.php, (6) the c[menu] parameter to UniversalSearch.php, (7) the description parameter in a SearchFormToAdd_document_list action to UI.php, (8) the category parameter in an errors action to audit.php, or (9) the suggest_pwd parameter to UI.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
iTop跨站脚本漏洞和多个HTML注入漏洞
漏洞描述信息
iTop中存在跨站脚本漏洞和多个HTML注入漏洞,攻击者提供的HTML和脚本代码可以在受影响的浏览器上下文中运行。该漏洞源于对用户提供的输入没有经过正确的过滤,攻击者可利用该漏洞利窃取基于cookie的认证证书或者控制网站传达给用户的方式,也可能造成其他的攻击。iTop 1.1.181版本中存在该漏洞,其他版本也可能受影响。
CVSS信息
N/A
漏洞类别
跨站脚本