OSSA-2015-009: Horizon 元数据仪表板中的持久性 XSS

OSSA-2015-009: Horizon 元数据仪表板中的持久性 XSS¶

日期:: 2015年5月25日
CVE:: CVE-2015-3988

影响¶

Horizon: 2014.2 版本至 2014.2.3 版本以及 2015.1.0 版本

描述¶

IBM 安全服务部的 Sunil Yadav 报告了 Horizon 中的一个持久性 XSS 漏洞。经过身份验证的用户可以通过将恶意元数据设置为 Glance 镜像、Nova flavor 或 Host Aggregate，并诱使管理员加载更新元数据页面，从而发起持久性 XSS 攻击。一旦在合法上下文中执行，此攻击可能导致权限提升。所有 Horizon 设置都受到影响。

补丁¶

https://review.openstack.org/183659 (Juno)
https://review.openstack.org/183656 (Kilo)
https://review.openstack.org/179429 (Liberty)

鸣谢¶

Sunil Yadav 来自 IBM (CVE-2015-3988)

参考¶

说明¶

此修复将包含在未来的 2014.2.4 (juno) 和 2015.1.1 (kilo) 版本中。

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。