JFrog


    云客户?
    免费开始>
    在MyJFrog >中升级
    云有什么新>





    使用旧版本?JFrog Artifactory 6.x|JFrog x射线2.x|JFrog任务控制3.x|JFrog Distribution 1.x|


    跳到元数据的末尾
    进入元数据的开始
    CVE ID

    严重程度

    发表的日期

    日期更新
    cve - 2021 - 45721

    媒介

    		 07/05/202 07/05/2022

    描述

    JFrog Artifactory版本之前7.29.8和6.23.38通过用户REST API端点中的一个XHR参数,容易受到反射跨站脚本(XSS)的攻击。

    严重性:中等

    CVSSv3.1得分:6.1AV: N /交流:L /公关:H / UI: R / S: U / C: H /我:H: N

    受影响的产品hth华体会最新官方网站

    产品

    影响版本

    打补丁的版本

    Artifactory (7. x)

    < 7.29.8

    7.29.8
    Artifactory (6. x)

    < 6.23.38

    		 6.23.38

    曝光所需配置

    此漏洞会影响JFrog Artifactory部署。

    此问题要求攻击者以管理员身份访问JFrog Artifactory


    如何修复

    云环境

    受影响的云环境已经用固定版本进行了强化。对于云实例,不需要任何操作。

    自我托管环境

    要修复此问题,需要执行相应的操作
    将您的Artifactory或Edge版本升级到下面列出的版本之一:

    产品

    版本

    链接

    Artifactory (7. x)

    7.29.8及以上

    https://releases.jfrog.io
    Artifactory (6. x)

    6.23.38及以上

    https://releases.jfrog.io

    变通办法和缓解措施

    除了升级到固定版本,这个问题没有任何建议的解决方案。

    缺陷类型

    CWE - 79在网页生成过程中不恰当的输入中和(“跨站点脚本”)

    确认

    米其林CERT的Maxime Escourbiac和Maxence Schmitt发现并报告了这个问题。

    我们在这里为您的问题(JFrog支持团队)

    如果您对此建议有任何疑问或顾虑,请在JFrog支持门户

    版权所有©2022 JFrog Ltd.