漏洞信息详情

IdentityServer3 authorize response页面跨站脚本漏洞

• CNNVD编号：CNNVD-201708-360
• 危害等级： 中危
  
• CVE编号： CVE-2017-12677
• 漏洞类型： 跨站脚本
• 发布时间： 2017-08-10
• 威胁类型： 远程
• 更新时间： 2017-08-10
• 厂        商： identityserver
• 漏洞来源：

漏洞简介

IdentityServer3是一个基于.NET的对Web应用程序进行访问控制的插件。authorize response page是其中的一个授权响应页面。

IdentityServer3中的authorize response page的Angular表达式存在跨站脚本漏洞。远程攻击者可利用该漏洞获取有关IdentityServer授权响应的敏感信息。以下版本受到影响：IdentityServer3 2.4.x版本，2.5.x版本，2.6.1之前的2.6.x版本。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/IdentityServer/IdentityServer3/releases/tag/2.6.1

参考网址

来源:CONFIRM

链接:https://github.com/IdentityServer/IdentityServer3/releases/tag/2.6.1

受影响实体

• Identityserver Identityserver3:2.4.0  
• Identityserver Identityserver3:2.6.0  
• Identityserver Identityserver3:2.5.1  
• Identityserver Identityserver3:2.5.0  
• Identityserver Identityserver3:2.5.3  

补丁

• IdentityServer3 authorize response页面跨站脚本漏洞的修复措施