漏洞标题
N/A
漏洞描述信息
NeDi 1.9C 可能因为inc/libmisc.php中sanitize()函数的不正确实现而存在XSS漏洞。该函数试图从用户可控制的数值中 escape SCRIPT tag,但很容易绕过,如设备配置-Config.php?sta=value中的IMG元素的错误属性onerror属性所示。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
NeDi 1.9C is vulnerable to XSS because of an incorrect implementation of sanitize() in inc/libmisc.php. This function attempts to escape the SCRIPT tag from user-controllable values, but can be easily bypassed, as demonstrated by an onerror attribute of an IMG element as a Devices-Config.php?sta= value.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
NeDi Consulting NeDi 跨站脚本漏洞
漏洞描述信息
NeDi Consulting NeDi是瑞士NeDi Consulting公司的一套支持发现和映射网络设备的开源软件。 NeDi Consulting NeDi 1.9C版本中的inc/libmisc.php文件的‘sanitize()’函数存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
CVSS信息
N/A
漏洞类别
跨站脚本