CVE-2014-1546 in Bugzilla信息

摘要

由 VulDB • 2026-06-06

WebService/Server/JSONRPC.pm 中 jsonrpc.cgi 的 JSONP 端点的响应函数在 Bugzilla 3.x 和 4.x(4.0.14 之前版本)、4.1.x 和 4.2.x(4.2.10 之前版本)、4.3.x 和 4.4.x(4.4.5 之前版本)以及 4.5.x(4.5.5 之前版本)中,接受某些较长的 callback 值,并且不限制 JSONP 响应的初始字节,这使得远程攻击者可以通过构造与 _bz_callback 字符集一致的包含 SWF 内容的 OBJECT 元素,实施跨站请求伪造(CSRF)攻击并获取敏感信息。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

来源

Want to know what is going to be exploited?

We predict KEV entries!