Atlassian JIRA多个跨站脚本攻击漏洞 CVE-2010-1164 CNNVD-201004-337

4.3 AV AC AU C I A
发布: 2010-04-20
修订: 2017-08-17

Atlassian JIRA是澳大利亚Atlassian公司开发的一款不错的商业问题跟踪工具,可以对各种类型的问题进行跟踪管理,包括缺陷、需求变更、评审记录等。 Atlassian JIRA 3.12 到 4.1 版本中存在多个跨站脚本攻击漏洞。远程攻击者可以借助多个参数注入任意的web脚本和HTML。这些参数包含:(1)Colour Picker页面的element参数或defaultColor参数;(2)页面User Picker的formName参数、element参数以及full name域;(3)页面Group Picker的formName参数、element参数或者group name域;(4)与Announcement Banner页面相关的组件的参数announcement_preview_banner_st;(5)和脚本groupnames.jsp、indexbrowser.jsp、classpath-debug.jsp、viewdocument.jsp或cleancommentspam.jsp页面相关的未知向量;(6)脚本runportleterror.jsp的portletKey参数;(7)脚本issuelinksmall.jsp的URI;(8)脚本screenshot-redirecter.jsp的afterURL参数;或者(9)脚本500page.jsp的HTTP Referrer头文件。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有14条受影响产品信息