漏洞标题
N/A
漏洞描述信息
通过1.1.2版本发现了一个问题,在Devise Token Auth中。 omniauth失败端点通过消息参数易受Reflected Cross Site Scripting(XSS)攻击。无授权的 attackers 可以构造一个 URL,该 URL 在受害者的浏览器中执行恶意的 JavaScript 子集。这影响了 omniauth 回调控制器的 fall_back_render 方法。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in Devise Token Auth through 1.1.2. The omniauth failure endpoint is vulnerable to Reflected Cross Site Scripting (XSS) through the message parameter. Unauthenticated attackers can craft a URL that executes a malicious JavaScript payload in the victim's browser. This affects the fallback_render method in the omniauth callbacks controller.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Devise Token Auth 跨站脚本漏洞
漏洞描述信息
Devise Token Auth是一款基于令牌的Rails身份验证程序。 Devise Token Auth 1.1.2及之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
CVSS信息
N/A
漏洞类别
跨站脚本