一、 漏洞 CVE-2024-8521 基础信息
漏洞标题
波纹实时QSO对谈索引跨站点脚本
来源:AIGC 神龙大模型
漏洞描述信息
发现了一个分类为问题的漏洞,影响范围为Wavelog版本在1.8.0及以下。受此影响的功能是组件Live QSO的文件/qso中的index。通过操纵参数manual,可以引发跨站脚本攻击。攻击者可以远程发起此攻击,并且已有关于此漏洞的信息公开,因此可能被利用。升级到1.8.1版本可以解决此问题。该补丁识别代码为b31002cec6b71ab5f738881806bb546430ec692e。建议升级受影响的组件。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
Wavelog Live QSO qso index cross site scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability, which was classified as problematic, was found in Wavelog up to 1.8.0. Affected is the function index of the file /qso of the component Live QSO. The manipulation of the argument manual leads to cross site scripting. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. Upgrading to version 1.8.1 is able to address this issue. The patch is identified as b31002cec6b71ab5f738881806bb546430ec692e. It is recommended to upgrade the affected component.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Wavelog 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Wavelog是Wavelog开源的一款基于 Web 的业余无线电记录软件。 Wavelog 1.8.0及之前版本存在跨站脚本漏洞,该漏洞源于文件/qso的参数manual会导致跨站脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-8521 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-8521 的情报信息

  • 标题: xss cleaning in qso controller by HB9HIL · Pull Request #744 · wavelog/wavelog · GitHub -- 🔗来源链接

    标签: issue-tracking

    神龙速读
    xss cleaning in qso controller by HB9HIL · Pull Request #744 · wavelog/wavelog · GitHub

  • 标题: CVEs/CVE-2024-8521 at main · GithubUser843205/CVEs · GitHub -- 🔗来源链接

    标签: exploit

    神龙速读
    CVEs/CVE-2024-8521 at main · GithubUser843205/CVEs · GitHub

  • 标题: Merge pull request #744 from HB9HIL/xss · wavelog/wavelog@b31002c · GitHub -- 🔗来源链接

    标签: patch

    Merge pull request #744 from HB9HIL/xss · wavelog/wavelog@b31002c · GitHub

  • 标题: Release Version 1.8.1 · wavelog/wavelog · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    Release Version 1.8.1 · wavelog/wavelog · GitHub

  • 标题: Login required -- 🔗来源链接

    标签: signature permissions-required

    神龙速读
    Login required

  • 标题: Submit #399819: Wavelog 1.8 Cross Site Scripting -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    Submit #399819: Wavelog 1.8 Cross Site Scripting

  • 标题: CVE-2024-8521 Wavelog Live QSO qso index cross site scripting -- 🔗来源链接

    标签: vdb-entry technical-description

    神龙速读
    CVE-2024-8521 Wavelog Live QSO qso index cross site scripting
  • https://nvd.nist.gov/vuln/detail/CVE-2024-8521