Redmine Title参数跨站脚本漏洞 CVE-2009-4459 CNNVD-200912-398
4.3
AV
AC
AU
C
I
A
发布:
2009-12-30
修订:
2017-08-17
Redmine是一套开源的基于Web的项目管理和缺陷跟踪工具。该工具提供项目管理、问题跟踪和基于角色的访问控制等功能。 Redmine没有正确地定义页面字符编码,将<title>放到了<meta>之前。攻击者可以创建标题编码为UTF-7 JavaScript的页面,当使用启用了自动选择功能的Internet Explorer查看该页面就会执行内嵌的代码。
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有29条受影响产品信息
