2023-07-26 17:48
中華資安國際發現CVE弱點,國外某開源平台具有一項漏洞
中華資安國際SOC團隊發現,國外開源平台具有一項漏洞(CVE-2023-36118),該平台管理頁面發現多處功能有XSS問題。
【風險等級】中度威脅
【影響範圍】1.0的版本
【細節描述】
CVE-2023-36118: 該平台在管理頁面多處存在XSS的問題,攻擊者可以利用簡單的XSS語法觸發。此漏洞可歸類於OWASP TOP 10 2021之A03 –Injection類型中。
若機關或企業有使用此平台系統,建議儘快聯繫廠商進行修補更新。
中華資安國際建議採取以下防範措施:
- 使用者:儘速將相關程式碼搬移至仍在維護的專案。
- 系統開發商:
- XSS防範:
對輸出進行編碼,確保用戶輸入的數據不會被解釋為腳本。使用HTML轉義或安全的輸出Encoding Library,如OWASP Java Encoder或PHP htmlspecialchars函數。
在特定上下文中使用CSP(內容安全策略)header,限制頁面可加載的資源來源。對於敏感操作,使用HTTP-Only和Secure flag設置Cookie,避免JavaScript訪問敏感信息。
- 系統開發商:建議導入安全程式開發流程(SSDLC)、事前進行安全程式碼開發教育訓練,並定期執行源碼檢測及滲透測試等安全檢測,才能有效地確保產品及用戶安全。
【參考資訊】