关键信息 漏洞概述 CVE编号: CVE-2024-56915 漏洞类型: 存储型跨站脚本(XSS) 受影响版本: Netbox Community Edition 4.1.7 至 4.2.1 修复版本: Netbox Community Edition 4.2.2 漏洞详情 漏洞描述: 使用RSS feed widget的仪表板如果在RSS 标签中包含编码的JavaScript有效载荷,则容易受到跨站脚本攻击。 根本原因: 文件中使用了 参数,导致用户定义的内容未经验证即被解释。 攻击向量 利用条件: 攻击者必须访问带有恶意RSS feed连接的仪表板。 攻击步骤: 1. 创建一个包含[RSS Feed Proof of Concept]代码的xml文件。 2. 在攻击服务器上启动python3 web服务器并托管xml文件。 3. 添加一个RSS widget。 4. 编辑RSS widget指向攻击者控制的IP地址并保存。 5. 刷新仪表板。 影响范围 受影响的产品代码库: Netbox Community Edition 4.1.7 - 4.2.1 受影响的组件: 使用RSS feed widget的仪表板 参考资料 Netbox社区讨论 Netbox 4.1.7发布说明 CVE官方记录 相关视频演示