E安全4月3日讯 Splunk近日发布了一项安全补丁,修复其JavaScript代码泄露用户信息的问题。
其在全面披露文件当中解释称,如果攻击者诱导已经完成身份验证的用户访问某恶意网页,则后者的个人信息即可遭到泄露。 无论用户是否启用远程访问功能,这项漏洞都仅会泄露用户的用户名称,但这一信息已经足以允许攻击者尝试利用后续的网络钓鱼攻击获取更多用户凭证。 建议报告指出,这项bug源自Splunk在其Object原型在JavaScript中的使用方式。 以下为建议报告中给出的Poc概念验证过程: |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
