一、 漏洞 CVE-2023-49111 基础信息
漏洞标题
在Kiuwan SAST中的反射型跨站脚本
来源:AIGC 神龙大模型
漏洞描述信息
对于启用SSO(单点登录)的Kiuwan安装,可以在登录页面"login.html"上执行未认证的反射式跨站脚本攻击。这主要是因为响应中的JavaScript块直接包含了请求参数"message"的值。在使用AD SSO认证的商业环境中,例如通过ADFS,攻击者有可能窃取AD密码。 这个问题影响Kiuwan SAST:<master.1808.p685.q13371
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Reflected Cross-Site-Scripting in Kiuwan SAST
来源:美国国家漏洞数据库 NVD
漏洞描述信息
For Kiuwan installations with SSO (single sign-on) enabled, an unauthenticated reflected cross-site scripting attack can be performed on the login page "login.html". This is possible due to the request parameter "message" values being directly included in a JavaScript block in the response. This is especially critical in business environments using AD SSO authentication, e.g. via ADFS, where attackers could potentially steal AD passwords. This issue affects Kiuwan SAST: <master.1808.p685.q13371
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Kiuwan SAST 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Kiuwan是一个功能强大的端到端应用程序安全平台。 Kiuwan SAST 2.8.2402.3之前版本存在跨站脚本漏洞,该漏洞源于可以在登录页面上执行未经身份验证的反射型跨站脚本(XSS)攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-49111 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-49111 的情报信息