漏洞标题
通过联邦和shovel端点的RabbitMQ XSS攻击
漏洞描述信息
Pivotal RabbitMQ 的 3.7 版本(v3.7.20 之前的版本)和 3.8 版本(v3.8.1 之前的版本),以及 RabbitMQ for PCF 的 1.16.x 版本(1.16.7 之前的版本)和 1.17.x 版本(1.17.4 之前的版本),包含两个端点,即联邦和 shovel,它们未能正确清理用户输入。远程授权的恶意用户可以通过 vhost 或节点名称字段发起跨站脚本攻击,从而可能获取虚拟主机和策略管理信息的访问权限。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
RabbitMQ XSS attack via federation and shovel endpoints
漏洞描述信息
Pivotal RabbitMQ, 3.7 versions prior to v3.7.20 and 3.8 version prior to v3.8.1, and RabbitMQ for PCF, 1.16.x versions prior to 1.16.7 and 1.17.x versions prior to 1.17.4, contain two endpoints, federation and shovel, which do not properly sanitize user input. A remote authenticated malicious user with administrative access could craft a cross site scripting attack via the vhost or node name fields that could grant access to virtual hosts and policy management information.
CVSS信息
N/A
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Pivotal Software RabbitMQ 跨站脚本漏洞
漏洞描述信息
Pivotal Software RabbitMQ是美国Pivotal Software公司的一套实现了高级消息队列协议(AMQP)的开源消息代理软件。 Pivotal Software RabbitMQ中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。以下产品及版本受到影响:Pivotal Software RabbitMQ 3.7.20之前的3.7版本,3.8.1之前的3.8版本;RabbitMQ for PCF 1.16.7之前的1.16.x版本,
CVSS信息
N/A
漏洞类别
跨站脚本