漏洞信息详情

OkCupid OKWS 跨站脚本漏洞

• CNNVD编号：CNNVD-201410-1198
• 危害等级： 中危
  
• CVE编号： CVE-2014-3148
• 漏洞类型： 跨站脚本
• 发布时间： 2014-09-20
• 威胁类型： 远程
• 更新时间： 2015-09-01
• 厂        商： ok_web_server_project
• 漏洞来源： Kenneth F. Belva

漏洞简介

OkCupid OKWS（OK Web Server）是一款用于创建Web服务的Web服务器。

OkCupid OKWS的libahttp/err.c文件中存在安全漏洞，该漏洞源于non-existent页面没有充分过滤‘PATH_INFO’值。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/okws/okws/commit/e9bedb644d106a043e33e1058bedd1c2c0b2e2e0

参考网址

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/128338/OKCupid-Cross-Site-Scripting.HTML

来源:twitter.com

链接:https://twitter.com/infosecmaverick/status/462573038299803648

来源:github.com

链接:https://github.com/okws/okws/commit/e9bedb644d106a043e33e1058bedd1c2c0b2e2e0

来源:hackerone.com

链接:https://hackerone.com/reports/3317

来源: BID

链接:http://www.securityfocus.com/bid/70074

受影响实体

• Ok_web_server_project Ok_web_server:-:~~~Okcupid~~  

补丁

暂无