Django Djblets 跨站脚本漏洞

漏洞信息详情

Django Djblets 跨站脚本漏洞

• CNNVD编号：CNNVD-201406-326
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-3995
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2014-06-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-06-17
  
• 厂        商：
  
  reviewboard
• 漏洞来源：

Django是Django软件基金会的一个采用Python语言的开源Web应用框架。Djblets是一套用于辅助开发Django的工具，它提供了有用的类和Django的函数的集合。

Django Djblets中的gravatars/templatetags/gravatars.py文件存在跨站脚本漏洞。远程攻击者可借助‘name’字段利用该漏洞注入任意Web脚本或HTML。以下版本受到影响：Djblets 0.7.30之前的版本和0.8.3之前的0.8.x版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/djblets/djblets/commit/e2c79117efd925636acd871a5f473512602243cf

来源:github.com

链接:https://github.com/djblets/djblets/commit/77ac64642ad530bf69e390c51fc6fdcb8914c8e7

来源:github.com

链接:https://github.com/djblets/djblets/commit/50000d0bbb983fa8c097b588d06b64df8df483bd

来源:MLIST

链接:http://seclists.org/oss-sec/2014/q2/494

来源:SECUNIA

链接:http://secunia.com/advisories/58691

来源:github.com

链接:https://github.com/djblets/djblets/commit/e2c79117efd925636acd871a5f473512602243cf

来源:MLIST

链接:http://seclists.org/oss-sec/2014/q2/498