返回列表

Facebook HHVM WddxPacket::recursiveAddVar跨站脚本漏洞

CVE: CVE-2014-9714

CNVD: 暂无

CNNVD: 暂无

漏洞类型: 其它

漏洞等级: 中危

年份: 暂无

POC_ID: 暂无

漏洞描述

Facebook HHVM是美国Facebook公司的一款能够显著提高PHP加载动态页面性能的虚拟机。 Facebook HHVM 的‘WddxPacket::recursiveAddVar’函数中存在跨站脚本漏洞,由于‘wddx_serialize_value’函数未能充分过滤特制的字符串,允许攻击者注入任意Web脚本或HTML。

影响范围

Facebook HipHop Virtual Machine <3.5.0

漏洞详情

暂无

漏洞 POC

暂无

修复建议

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

参考来源

https://lists.wikimedia.org/pipermail/mediawiki-announce/2015-March/000175.html