中国站

anuko timetracker 跨站脚本漏洞

CNNVD-ID编号 CNNVD-202110-1267 CVE编号 CVE-2021-41156
发布时间 2021-10-18 更新时间 2021-10-19
漏洞类型 跨站脚本 漏洞来源 N/A
危险等级 中危 威胁类型 远程
厂商 N/A

漏洞介绍

Anuko TimeTracker是 (Anuko)开源的一个应用软件。提供一个用PHP编写的基于Web的开源时间跟踪应用程序。 anuko timetracker 存在跨站脚本漏洞,该漏洞源于时间跟踪器在几个页面上使用 browser_today 隐藏控件从用户浏览器收集今天的日期。 由于在 1.19.30.5601 之前的版本中未检查此参数的完整性,因此可以使用恶意 JavaScript 制作 html 表单,使用社会工程说服登录用户从此类表单执行 POST,并让攻击者提供要在用户浏览器中执行的 JavaScript。

漏洞补丁

目前厂商已发布升级了anuko timetracker 跨站脚本漏洞的补丁,anuko timetracker 跨站脚本漏洞的补丁获取链接: https://github.com/anuko/timetracker/security/advisories/GHSA-g9cc-m4p4-6xpc

参考网址

  • 暂无

受影响实体

暂无

信息来源

查询漏洞

    • 漏洞名称
    • CVE编号
    • CNNVD编号
  • 开始时间

  • 结束时间