一、 漏洞 CVE-2016-5394 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Apache Sling 1.0.12之前的版本中,XSS Protection API 模块中的 XSSAPI.encodeForJSString() 方法的编码不够严格,某些输入模式允许脚本标签未经编码通过,导致潜在的 XSS 漏洞。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In the XSS Protection API module before 1.0.12 in Apache Sling, the encoding done by the XSSAPI.encodeForJSString() method is not restrictive enough and for some input patterns allows script tags to pass through unencoded, leading to potential XSS vulnerabilities.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Sling XSS Protection API模块跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Sling是美国阿帕奇(Apache)软件基金会的一套用于Java平台上的开源Web框架。该框架可在JCR内容库(Java Content Repository)上创建面向内容的应用。XSS Protection API module是其中的一个XSS攻击保护模块。 Apache Sling中的XSS Protection API模块1.0.12之前的版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2016-5394 的公开POC
# POC 描述 源链接 神龙链接
1 apache/sling with CVE-2016-5394 https://github.com/epicosy/VUL4J-23 POC详情
三、漏洞 CVE-2016-5394 的情报信息