漏洞标题
BigBlueButton 存储型跨站脚本漏洞 处于访客大厅时
漏洞描述信息
## 漏洞概述
BigBlueButton在某些版本中存在跨站脚本(XSS)漏洞,当用户等待进入会议时,未经过滤的消息会被插入到元素中,导致安全性问题。
## 影响版本
- 低于2.6.11版本
- 低于2.7.0-beta.3版本
## 漏洞细节
在等待进入会议期间,Guest Lobby模块使用不安全的innerHTML方法,插入未经安全过滤的消息,导致XSS攻击。
## 影响
该漏洞允许攻击者通过插入恶意脚本控制用户的会话,从而读取用户信息或执行其他恶意操作。自2.6.11版本和2.7.0-beta.3版本起已添加文本过滤机制,但没有已知的临时解决方法。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
BigBlueButton Stored Cross-site Scripting vulnerability at Guest Lobby
漏洞描述信息
BigBlueButton is an open-source virtual classroom. Prior to versions 2.6.11 and 2.7.0-beta.3, Guest Lobby was vulnerable to cross-site scripting when users wait to enter the meeting due to inserting unsanitized messages to the element using unsafe innerHTML. Text sanitizing was added for lobby messages starting in versions 2.6.11 and 2.7.0-beta.3. There are no known workarounds.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
BigBlueButton 跨站脚本漏洞
漏洞描述信息
BigBlueButton是BigBlueButton社区的一套开源的Web会议系统。 BigBlueButton 2.6.11之前版本,2.7.0-beta.3之前版本存在跨站脚本漏洞,该漏洞源于Guest Lobby存在跨站脚本(XSS)漏洞。
CVSS信息
N/A
漏洞类别
跨站脚本