漏洞描述:
Python Paste是一款Python下的WEB开放工具集。 paste.httpexceptions对部分参数引用不安全,允许触发跨站脚本攻击,大部分是对404消息处理的参数缺少充分过滤。WSGI应用程序使用了paste.urlparse.StaticURLParser和PkgResourcesParser。通过诱使用户特殊够构建的URL,攻击者可以在目标用户客户端执行任意JavaScript。
参考信息 BUGTRAQ ID: 41160
链接:
http://www.spinics.net/lists/fedora-package-announce/msg43452.html
0 条评论。