一、 漏洞 CVE-2020-13821 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在HiveMQ代理中心4.3.2中发现了一个问题。一个精心 crafted的客户端ID参数(发送到代理的MQTT包)在管理终端的客户端部分得到了反映。攻击者将恶意JavaScript加载到浏览器中,这可能导致代理管理员账户的会话和cookie被盗。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in HiveMQ Broker Control Center 4.3.2. A crafted clientid parameter in an MQTT packet (sent to the Broker) is reflected in the client section of the management console. The attacker's JavaScript is loaded in a browser, which can lead to theft of the session and cookie of the administrator's account of the Broker.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
HiveMQ Broker Control Center 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
HiveMQ Broker Control Center是HiveMQ公司的一个控制中心。它提供了一个仪表板,用于监控HiveMQ集群节点的健康状况、客户端概览和每个客户端会话的详细客户端视图 HiveMQ Broker Control Center 4.3.2版本存在跨站脚本漏洞,该漏洞源于MQTT数据包中的精心设计的clientid参数(发送给Broker)反映在管理控制台的client部分中。攻击者的JavaScript被加载到浏览器中,这可能导致会话的窃取和Broker管理员帐户的cookie。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-13821 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2020-13821 的情报信息