关键信息 漏洞概览 Title: OrientDB 3.0.17 GA Community Edition - Cross-Site Request Forgery / Cross-Site Scripting Edb-ID: 46517 CVE: N/A Author: Ozer Goker Type: Webapps Platform: Multiple Date: 2019-03-08 漏洞描述 受影响的应用: OrientDB 3.0.17 GA Community Edition (March 7th, 2019) 漏洞类型: - Cross-Site Request Forgery (CSRF) - Cross-Site Scripting (XSS) 漏洞细节 CSRF: - 涉及多种操作,如创建、删除数据库,管理新的顶点(vertex)和用户,以及管理功能的创建和删除。 XSS: - 涉及存储型和反射型跨站脚本攻击。 - 存储型XSS通过添加用户实现,反射型XSS通过管理功能的保存操作实现。 测试实例 XSS Stored - 通过向用户添加操作注入 来验证存储型XSS攻击。 XSS Reflected - 通过HTTP请求向参数 中插入 来验证反射型XSS攻击。 漏洞证明(PoC) 提供了具体示例证明在特定操作中(删除、保存功能)XSS攻击可以成功执行。 漏洞标签 Tags: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) Note: 该网页截图所显示的内容说明OrientDB 3.0.17 GA Community Edition存在CSRF和XSS安全漏洞,攻击者可以通过这两种漏洞对应用程序执行恶意操作。