漏洞标题
FOG 在日志屏幕上通过未过滤的请求记录来存储 XSS
漏洞描述信息
## 漏洞概述
FOG 是一个免费的开源克隆/映像/救援套件和库存管理系统。在 1.5.10.15 之前的版本中,由于日志中的请求没有进行适当的校验,恶意的 XSS 请求会被存储到日志文件中。当 FOG 服务器管理员查看这些日志时,日志内容会被解析为 HTML 并显示出来。
## 影响版本
- 所有低于 1.5.10.15 的版本
## 漏洞细节
FOG 在处理日志文件时缺乏对请求内容的校验,导致恶意的 XSS 脚本可以存储在日志文件中。当管理员查看这些日志时,这些脚本会被解析并执行。
## 影响
管理员在查看包含恶意请求的日志时,会面临跨站脚本(XSS)攻击的风险,可能导致敏感信息泄露或执行非法操作。1.5.10.15 版本修复了此问题,建议升级到最新版本。作为临时解决方案,建议使用外部文本编辑器查看日志,而不是使用 FOG 管理界面。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
FOG stored XSS on log screen via unsanitized request logging
漏洞描述信息
FOG is a free open-source cloning/imaging/rescue suite/inventory management system. Prior to version 1.5.10.15, due to a lack of request sanitization in the logs, a malicious request containing XSS would be stored in a log file. When an administrator of the FOG server logged in and viewed the logs, they would be parsed as HTML and displayed accordingly. Version 1.5.10.15 contains a patch. As a workaround, view logs from an external text editor rather than the dashboard.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
FOGProject 安全漏洞
漏洞描述信息
FOGProject是一个免费的开源网络计算机克隆和管理解决方案。可用于部署和管理任何桌面操作系统。 FOGProject 1.5.10.15 之前版本存在安全漏洞,该漏洞源于日志中缺乏请求清理,包含 XSS 的恶意请求将会存储在日志文件中,当FOG服务器的管理员登录并查看日志时,它们将被解析为HTML并相应地显示。
CVSS信息
N/A
漏洞类别
其他