OSSA-2020-008: 工作流表单中的开放重定向

OSSA-2020-008: 工作流表单中的开放重定向¶

日期:: 2020年12月03日
CVE:: CVE-2020-29565

影响¶

Horizon: <15.3.2, >=16.0.0 <16.2.1, >=17.0.0 <18.3.3, >=18.4.0 <18.6.0

描述¶

Pritam Singh (Red Hat) 报告了 Horizon 工作流表单中的一个漏洞。之前，“next”参数缺乏验证，这允许有人在 Horizon 中提供恶意 URL，从而导致自动重定向到提供的恶意 URL。

补丁¶

https://review.opendev.org/765951 (Pike)
https://review.opendev.org/765950 (Queens)
https://review.opendev.org/765945 (Rocky)
https://review.opendev.org/758843 (Stein)
https://review.opendev.org/758841 (Train)
https://review.opendev.org/752703 (Ussuri)
https://review.opendev.org/750207 (Victoria)

鸣谢¶

Red Hat 的 Pritam Singh (CVE-2020-29565)

参考¶

说明¶

stable/rocky、stable/queens 和 stable/pike 分支处于扩展维护阶段，将不会收到新的点版本，但会提供补丁作为一种礼貌。

此页面上次更新时间：2025-12-09 16:24:10

Creative Commons Attribution 3.0 License

除非另有说明，本文档根据知识共享署名 3.0 许可授权。请参阅所有 OpenStack 法律文件。