一、 漏洞 CVE-2021-3529 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在5.7.0之前的版本中,发现了noobaa-core中的一个漏洞。这个漏洞导致任意URL的名称在标签之间的纯文本中复制到HTML文档中,包括可能包含 payload 脚本。应用程序响应的输入未受影响地被重复输出,导致任意 JavaScript 被注入到应用程序响应中。对系统的最高威胁是保密性、可用性和完整性。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in noobaa-core in versions before 5.7.0. This flaw results in the name of an arbitrarily URL being copied into an HTML document as plain text between tags, including potentially a payload script. The input was echoed unmodified in the application response, resulting in arbitrary JavaScript being injected into an application's response. The highest threat to the system is for confidentiality, availability, and integrity.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
nooba -core 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
noobaa-core是应用软件提供具有灵活分层、镜像和分布放置策略的 S3 对象存储接口,适用于任何允许 GET/PUT 的存储资源,包括 S3、GCS、Azure Blob、文件系统等。 nooba -core存在跨站脚本漏洞,该漏洞源于输入在应用程序响应中不加修改地发出,导致将任意JavaScript注入到应用程序的响应中。。攻击者可利用该漏洞执行客户端代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-3529 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2021-3529 的情报信息