漏洞标题
N/A
漏洞描述信息
HCL Traveler版本9.x和更早版本容易受到跨站点脚本攻击。在TravelerServlet页面的问题报告页面中,有一个字段用于指定文件附件,以提供额外的问题详细信息。一个无效的文件名返回一个包含输入的文件名的错误消息。如果返回的错误页面中没有 escape 掉文件名,它可能暴露一个跨站点脚本(XSS)漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
HCL Traveler versions 9.x and earlier are susceptible to cross-site scripting attacks. On the Problem Report page of the Traveler servlet pages, there is a field to specify a file attachment to provide additional problem details. An invalid file name returns an error message that includes the entered file name. If the file name is not escaped in the returned error page, it could expose a cross-site scripting (XSS) vulnerability.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
HCL Traveler 跨站脚本漏洞
漏洞描述信息
HCL Traveler 9.x及之前版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
CVSS信息
N/A
漏洞类别
跨站脚本