漏洞标题
Apache CXF 服务列表页面的反射性跨站脚本(XSS)漏洞,通过 styleSheetPath 参数。
漏洞描述信息
Apache CXF 服务列表页面中的样式表路径反射跨站脚本(XSS)漏洞
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
Apache CXF Reflected XSS in the services listing page via the styleSheetPath
漏洞描述信息
By default, Apache CXF creates a /services page containing a listing of the available endpoint names and addresses. This webpage is vulnerable to a reflected Cross-Site Scripting (XSS) attack via the styleSheetPath, which allows a malicious actor to inject javascript into the web page. This vulnerability affects all versions of Apache CXF prior to 3.4.1 and 3.3.8. Please note that this is a separate issue to CVE-2019-17573.
CVSS信息
N/A
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Apache CXF 跨站脚本漏洞
漏洞描述信息
Apache CXF是美国阿帕奇(Apache)基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。 Apache CXF 3.4.1版本和3.3.8之前所有版本存在跨站脚本漏洞,该漏洞源于Apache CXF创建一个服务页面,其中包含可用端点名称和地址的列表。此网页容易受到通过styleSheetPath反射的跨站点脚本攻击(XSS)的攻击,攻击者可利用该漏洞将javascript注入web页面。
CVSS信息
N/A
漏洞类别
跨站脚本