一、 漏洞 CVE-2024-54451 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Kurmi Provisioning Suite 7.9.0.38之前版本、7.10.x至7.10.0.18版本以及7.11.x至7.11.0.15版本中的graphicCustomization.do页面存在跨站脚本(XSS)漏洞。远程攻击者(以系统管理员身份认证)可以通过COMPONENT_fields(htmlTitle)字段注入任意Web脚本或HTML代码,且这些代码会被渲染在应用程序的其他页面中,影响所有用户(前提是超级管理员已激活了图形自定义功能)。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A cross-site scripting (XSS) vulnerability in the graphicCustomization.do page in Kurmi Provisioning Suite before 7.9.0.38, 7.10.x through 7.10.0.18, and 7.11.x through 7.11.0.15 allows remote attackers (authenticated as system administrators) to inject arbitrary web script or HTML via the COMPONENT_fields(htmlTitle) field, which is rendered in other pages of the application for all users (if the graphical customization has been activated by a super-administrator).
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Kurmi Provisioning Suite 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Kurmi Provisioning Suite是Kurmi公司的一个基础设施管理套件。 Kurmi Provisioning Suite存在安全漏洞。攻击者利用该漏洞可以通过 COMPONENT_fields(htmlTitle) 字段注入任意 Web 脚本或 HTML。以下版本受到影响:7.9.0.38之前版本、7.10.x版本至7.10.0.18版本和7.11.x版本至7.11.0.15版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-54451 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-54451 的情报信息
-
标题: Smarter UC Lifecycle Management and Provisioning Automation - Kurmi Software -- 🔗来源链接
标签:
-
标题: Security Advisories - Kurmi Software -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-54451