ZITADEL vulnerable to improper HTML sanitization (CVE-2024-28855)

admin
admin
admin
0
文章
0
评论
2024-03-25 10:05:04 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
ZITADEL vulnerable to improper HTML sanitization (CVE-2024-28855)

CVE编号

CVE-2024-28855

利用情况

暂无

补丁情况

N/A

披露时间

2024-03-19
漏洞描述
ZITADEL开源身份验证管理软件使用Go模板来渲染登录界面。在版本2.47.3、2.46.1、2.45.1、2.44.3、2.43.9、2.42.15和2.41.15之前,由于不正确地使用了`text/template`而不是`html/template`包,登录界面未对输入参数进行消毒。攻击者可以创建恶意链接,注入代码将作为登录屏幕的一部分呈现。尽管可以注入包括JavaScript在内的HTML,但这些脚本的执行将被内容安全策略所阻止。版本2.47.3、2.46.1、2.45.1、2.44.3、2.43.9、2.42.15和2.41.15中包含了针对此问题的修补程序。目前尚无已知解决方法。
解决建议
"将组件 github.com/zitadel/zitadel 升级至 2.47.4 及以上版本""将组件 github.com/zitadel/zitadel 升级至 2.41.15 及以上版本""将组件 github.com/zitadel/zitadel 升级至 2.42.15 及以上版本""将组件 github.com/zitadel/zitadel 升级至 2.43.9 及以上版本""将组件 github.com/zitadel/zitadel 升级至 2.44.3 及以上版本"
参考链接
https://github.com/zitadel/zitadel/releases/tag/v2.41.15
https://github.com/zitadel/zitadel/releases/tag/v2.42.15
https://github.com/zitadel/zitadel/releases/tag/v2.43.9
https://github.com/zitadel/zitadel/releases/tag/v2.44.3
https://github.com/zitadel/zitadel/releases/tag/v2.45.1
https://github.com/zitadel/zitadel/releases/tag/v2.46.1
https://github.com/zitadel/zitadel/releases/tag/v2.47.3
https://github.com/zitadel/zitadel/security/advisories/GHSA-hfrg-4jwr-jfpj
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0