# (CVE-2019-0216)Apache Airflow 储存型xss
=
一、漏洞简介
————
Apache Airflow 1.10.2及之前版本中的airflow
webserver服务存在跨站脚本漏洞,该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
二、漏洞影响
————
Apache Airflow \< 1.10.3 三、复现过程
------------ 访问`/admin/dagrun/`(默认是不需要密码) 创建一个项目 1.png 返回列表,可以看到点击"运行"可以让你输入HTML代码 2.png 可以在里面输入代码
3.png
> 可直接造成储存型xss
4.png
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容