一、 漏洞 CVE-2023-45757 基础信息
漏洞标题
Apache bRPC:内置服务rpcz页面存在XSS攻击漏洞
来源:AIGC 神龙大模型
漏洞描述信息
所有平台的Apache bRPC版本<=1.6.0存在安全漏洞,攻击者可以向内置的rpcz页面注入XSS代码。 攻击者如果能够向启用了rpcz功能的bRPC服务器发送HTTP请求,就可以将任意XSS代码注入到内置的rpcz页面中。 解决方案(选择其一): 1. 升级到bRPC > 1.6.0,下载链接:https://dist.apache.org/repos/dist/release/brpc/1.6.1/ 2. 如果您正在使用旧版本的bRPC且升级困难,可以应用此补丁:https://github.com/apache/brpc/pull/2411 3. 禁用rpcz功能
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Apache bRPC: The builtin service rpcz page has an XSS attack vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Security vulnerability in Apache bRPC <=1.6.0 on all platforms allows attackers to inject XSS code to the builtin rpcz page. An attacker that can send http request to bRPC server with rpcz enabled can inject arbitrary XSS code to the builtin rpcz page. Solution (choose one of three): 1. upgrade to bRPC > 1.6.0, download link: https://dist.apache.org/repos/dist/release/brpc/1.6.1/ 2. If you are using an old version of bRPC and hard to upgrade, you can apply this patch:  https://github.com/apache/brpc/pull/2411 3. disable rpcz feature
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache bRPC 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache bRPC是美国阿帕奇(Apache)基金会的用于构建可靠和高性能服务的工业级 RPC 框架。 Apache bRPC 1.6.0及之前版本存在跨站脚本漏洞,该漏洞源于允许攻击者将XSS代码注入内置rpcz页面。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-45757 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-45757 的情报信息