漏洞标题
天文学桌面应用Galaxy多个存储型跨站脚本漏洞
漏洞描述信息
Galaxy 是一个免费的、开源的数据分析系统,支持工作流编写、工具发布、基础设施管理等功能。该系统的编辑可视化功能(/visualizations 接口)可用于存储 HTML 标签,并在编辑操作时触发 JavaScript 执行。Galaxy 的所有支持版本(追溯到 release_20.05)均已通过提供的补丁进行了修正。建议用户进行升级。目前,此漏洞没有已知的解决办法。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:H/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Stored Cross Site Scripting (Stored XSS) in Galaxy
漏洞描述信息
Galaxy is a free, open-source system for analyzing data, authoring workflows, training and education, publishing tools, managing infrastructure, and more. The editor visualization, /visualizations endpoint, can be used to store HTML tags and trigger javascript execution upon edit operation. All supported branches of Galaxy (and more back to release_20.05) were amended with the supplied patches. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Galaxy 跨站脚本漏洞
漏洞描述信息
Galaxy是Galaxy Project开源的一个 FAIR 数据分析的开源平台。 Galaxy 24.1.1之前版本存在跨站脚本漏洞,该漏洞源于当用户使用编辑器可视化编辑恶意数据集时,攻击者可以诱骗用户执行任意javascript代码。
CVSS信息
N/A
漏洞类别
跨站脚本