CVE-2020-9056 是 Periscope BuySpeed 14.5 版本中发现的存储型跨站脚本 (XSS) 漏洞。该漏洞允许经过身份验证的本地攻击者在应用程序中存储任意 JavaScript 代码。这些代码未经清理就显示给用户,并在用户的浏览器中执行,可能导致恶意行为。受影响的版本包括 14.5,建议尽快升级到 15.3 版本以修复此问题。
攻击者可以利用此 XSS 漏洞将恶意 JavaScript 代码注入到 BuySpeed 应用程序中。当其他用户访问包含该恶意代码的页面时,代码将在他们的浏览器中执行。这可能导致多种攻击,包括网站重定向,将用户引导至恶意网站;会话劫持,窃取用户的登录凭据;以及信息泄露,获取敏感数据。由于该漏洞需要攻击者在系统中进行身份验证,因此攻击范围受到一定限制,但仍然可能对用户造成严重影响。
目前没有公开的漏洞利用程序 (PoC) 可用,但该漏洞已公开披露。由于该漏洞需要身份验证,因此被 CISA 评定为低概率的威胁。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
Organizations utilizing Periscope BuySpeed version 14.5, particularly those with local authenticated users accessing the application, are at risk. Shared hosting environments where multiple users share the same BuySpeed instance are also potentially vulnerable.
disclosure
漏洞利用状态
EPSS
0.30% (54% 百分位)
CVSS 向量
最有效的缓解措施是立即将 BuySpeed 升级到 15.3 或更高版本,该版本已修复此漏洞。如果无法立即升级,可以尝试以下临时缓解措施:严格审查用户输入,过滤掉潜在的恶意脚本代码;实施内容安全策略 (CSP),限制浏览器可以加载的资源;并定期扫描应用程序,查找可疑的 JavaScript 代码。升级后,请验证新版本是否已成功部署,并确认漏洞已得到修复。
将 BuySpeed 更新到版本 15.3 或更高版本。此版本包含存储型 Cross-Site Scripting (XSS) 漏洞的修复。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2020-9056 是 Periscope BuySpeed 14.5 版本中发现的存储型跨站脚本 (XSS) 漏洞,允许攻击者存储恶意 JavaScript 代码。
如果您正在使用 Periscope BuySpeed 14.5 版本,则可能受到此漏洞的影响。请尽快升级到 15.3 或更高版本。
最有效的修复方法是升级到 BuySpeed 15.3 或更高版本。如果无法升级,请实施临时缓解措施,如输入过滤和内容安全策略。
目前没有公开的漏洞利用程序,但该漏洞已公开披露,建议保持警惕。
请访问 Periscope 的官方网站或安全公告页面,查找有关 CVE-2020-9056 的详细信息。