CVE-2019-20008

描述

In Archery before 1.3, inserting an XSS payload into a project name (either by creating a new project or editing an existing one) will result in stored XSS on the vulnerability-scan scheduling page.

如何修補 CVE-2019-20008

要修補 CVE-2019-20008,請將受影響套件升級到下列已修補版本。

• PyPI/pyarchery—升級至 1.3.0 或更新版本

CVE-2019-20008 正在被利用嗎?

低 — EPSS 為 0.4%,目前沒有觀察到大規模利用活動。

受影響套件(1)

• from 0, < 1.3.0

參考連結(3)

• REPORTgithub.com/archerysec/archerysec/issues/338
• WEBgithub.com/archerysec/archerysec/compare/archerysec-v1.2...v1.3
• WEBgithub.com/archerysec/archerysec/releases/tag/v1.3