漏洞信息(CVE-2019-14750)

一、漏洞 CVE-2019-14750 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

在 osTicket 1.10.7 和 1.12.x 之前版本中发现了一个问题。在 setup/install.php 文件中存在存储的XSS问题。观察发现，应用程序中的姓名和名称字段未提供输入 Sanitization。在那些字段中插入恶意查询会导致这些查询的执行。这可能会导致 cookie 窃取或其他恶意行为。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

An issue was discovered in osTicket before 1.10.7 and 1.12.x before 1.12.1. Stored XSS exists in setup/install.php. It was observed that no input sanitization was provided in the firstname and lastname fields of the application. The insertion of malicious queries in those fields leads to the execution of those queries. This can further lead to cookie stealing or other malicious actions.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Enhancesoft osTicket 跨站脚本漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Enhancesoft osTicket是美国Enhancesoft公司的一套开源的票务系统。 Enhancesoft osTicket 1.10.7之前版本和1.12.1之前的1.12.x版本中的setup/install.php文件存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

跨站脚本

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2019-14750 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2019-14750 的情报信息

https://github.com/osTicket/osTicket/releases/tag/v1.12.1 x_refsource_MISC
https://github.com/osTicket/osTicket/releases/tag/v1.10.7 x_refsource_MISC
https://github.com/osTicket/osTicket/commit/c3ba5b78261e07a883ad8fac28c214486c854e12 x_refsource_MISC
http://packetstormsecurity.com/files/154005/osTicket-1.12-Cross-Site-Scripting.html x_refsource_MISC
https://www.exploit-db.com/exploits/47226 exploit x_refsource_EXPLOIT-DB
https://nvd.nist.gov/vuln/detail/CVE-2019-14750

一、 漏洞 CVE-2019-14750 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2019-14750 的公开POC

三、漏洞 CVE-2019-14750 的情报信息

一、漏洞 CVE-2019-14750 基础信息