一、 漏洞 CVE-2021-3509 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Red Hat Ceph Storage 4中发现了一个漏洞,在Dashboard组件中。为了应对CVE-2020-27839漏洞,将JWT令牌从localStorage移动到了httpOnly cookie。然而,令牌 cookie 在HTTP响应的正文中用于文档,这再次使它暴露在XSS攻击中。系统的最大威胁是对 confidentiality、 integrity 和 availability 的威胁。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in Red Hat Ceph Storage 4, in the Dashboard component. In response to CVE-2020-27839, the JWT token was moved from localStorage to an httpOnly cookie. However, token cookies are used in the body of the HTTP response for the documentation, which again makes it available to XSS.The greatest threat to the system is for confidentiality, integrity, and availability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Red Hat Ceph跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Red Hat Ceph是美国红帽(Red Hat)公司的一套Linux PB级分布式文件系统。该系统的主要目标是设计成基于POSIX(可移植操作系统接口)的没有单点故障的分布式文件系统,使数据能容错和无缝的复制。 Red Hat Ceph 存在跨站脚本漏洞,该漏洞源于对通过JWT令牌在HTTP cookie中传递的用户提供的数据没有进行充分的无害化处理。远程攻击者可利用该漏洞可以在脆弱网站的上下文中在用户的浏览器中注入和执行任意的HTML和脚本代码。以下产品及版本受到影响:Ceph: 14.0.0, 1
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-3509 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2021-3509 的情报信息