漏洞标题
LF Edge eKuiper规则功能中存在Stored XSS漏洞
漏洞描述信息
LF Edge eKuiper 是一个物联网数据分析和流处理引擎。在 2.0.8 版本之前,具有修改服务权限的用户(例如拥有 kuiperUser 角色的用户)可以将跨站脚本载荷注入到规则 `id` 参数中。之后,当任何具有访问此服务权限的用户(例如 admin)尝试对该规则进行任何操作(更新、运行、停止、删除)时,载荷会在受害者的浏览器中生效。该问题在 2.0.8 版本中已得到修复。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
LF Edge eKuiper has Stored XSS in Rules Functionality
漏洞描述信息
LF Edge eKuiper is an internet-of-things data analytics and stream processing engine. Prior to version 2.0.8, auser with rights to modify the service (e.g. kuiperUser role) can inject a cross-site scripting payload into the rule `id` parameter. Then, after any user with access to this service (e.g. admin) tries make any modifications with the rule (update, run, stop, delete), a payload acts in the victim's browser. Version 2.0.8 fixes the issue.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)