漏洞标题
在flaskBlog中,用户个人资料页面存在跨站脚本(Cross Site Scripting,XSS)漏洞。
漏洞描述信息
flaskBlog是使用Flask构建的一个简单博客应用。在处理和渲染"/user/<user>"页面时,用户可以执行任意javascript代码。HTML模板"user.html"中包含了以下代码片段来渲染用户发表的评论: `<div class="content" tag="content">{{comment[2]|safe}}</div>`。使用"safe"标签会导致flask不转义渲染后的内容。为了修复这个问题,只需要从上面的HTML中移除`|safe`标签。没有可用的修复方法,建议用户手动编辑他们的安装。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
User profile page vulnerable to Cross Site Scripting (XSS) in flaskBlog
漏洞描述信息
flaskBlog is a simple blog app built with Flask. Improper storage and rendering of the `/user/<user>` page allows a user's comments to execute arbitrary javascript code. The html template `user.html` contains the following code snippet to render comments made by a user: `<div class="content" tag="content">{{comment[2]|safe}}</div>`. Use of the "safe" tag causes flask to _not_ escape the rendered content. To remediate this, simply remove the `|safe` tag from the HTML above. No fix is is available and users are advised to manually edit their installation.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
FlaskBlog 跨站脚本漏洞
漏洞描述信息
FlaskBlog是一个使用 Flask 构建的简单博客应用程序。 FlaskBlog 存在跨站脚本漏洞,该漏洞源于页面的不正确存储和渲染,允许攻击者执行任意JavaScript代码。
CVSS信息
N/A
漏洞类别
跨站脚本