漏洞信息 CVE编号: CVE-2014-3594 公告日期: 2014年8月19日 漏洞标题: Persistent XSS in Horizon Host Aggregates interface 报告人: Dennis Felsch 和 Mario Heiderich (Ruhr-University Bochum) 受影响产品: Horizon 受影响版本: up to 2013.2.3, and 2014.1 versions up to 2014.1.2 漏洞描述 恶意管理员可以通过在Horizon Host Aggregate interface中注册恶意的主机聚合来执行持久性的XSS攻击。一旦在合法的上下文中执行,这种攻击可能会泄露另一个管理员令牌,导致权限的横向提升。所有的Horizon设置都可能受到影响。 修复信息 Juno分支修复: review.openstack.org/115310 Icehouse分支修复: review.openstack.org/115311 Havana分支修复: review.openstack.org/115313 备注: 该修复将包含在Juno-3开发里程碑中,以及未来的2013.2.4和2014.1.3版本中。 参考链接 CVE-2014-3594详情 launchpad.net的bug记录