关键信息 1. 漏洞编号: - VDB-276726 - CVE-2024-8521 2. 漏洞名称: - Wavelog up to 1.8.0 Live QSO/QSO Index Manual Cross Site Scripting 3. CVSS Meta Temp Score: - 4.1 4. 当前漏洞价格: - $0-$5k 5. CTI Interest Score: - 4.07 6. 受影响的组件: - Wavelog up to 1.8.0 - Live QSO 7. 受影响的函数: - of the file 8. 漏洞描述: - 漏洞是由于在 函数中处理 参数时,输入未知导致的跨站脚本攻击(Cross Site Scripting)。 9. 影响: - 影响了文件 的组件Live QSO。 - 漏洞允许远程攻击者利用未验证的输入。 10. 修复建议: - 升级到版本1.8.1可以解决此问题。 - 可以从GitHub下载修复补丁。 - 最佳缓解措施是升级到最新版本。 11. 漏洞披露: - 漏洞已公开披露。 - 成功利用需要用户交互。 - 技术细节和公共利用已知。 12. 漏洞利用: - 漏洞利用代码已公开。 - 漏洞利用被标记为“proof-of-concept”。 13. CVE编号: - CVE-2024-8521 14. MITRE ATT&CK项目: - 漏洞被MITRE ATT&CK项目标记为T1059.007。 15. 受影响的版本: - Wavelog up to 1.8.0 16. 相关漏洞编号: - VDB-230082 - VDB-248221 - VDB-250585 - VDB-250587 总结 这个漏洞是一个跨站脚本攻击(Cross Site Scripting),影响了Wavelog up to 1.8.0 Live QSO/QSO Index组件。漏洞利用简单,不需要认证,且技术细节已公开。建议用户升级到1.8.1版本或应用修复补丁来解决此问题。