发布日期：2019-07-03
更新日期：2019-07-03

受影响系统：

getbootstrap bootstrap-sass 3.2.0.3

不受影响系统：

getbootstrap bootstrap-sass 3.2.0.4

描述：

---

BUGTRAQ  ID: 108468
CVE(CAN) ID: CVE-2019-10842

Bootstrap 是一个用于快速开发 Web 应用程序和网站的前端框架。
当从rubygems.org下载时，在bootstrap-sass 3.2.0.3中发现了任意代码执行（通过后门代码）。

未经身份验证的攻击者可以使用base64任意代码创建___cfduid cookie值，以便通过eval（）执行，可以利用它来执行目标系统上的任意代码。请注意，cookie名称中有三个下划线字符。这与Cloudflare合法使用的__cfduid cookie无关。

<*来源：Derek Barnes
  *>

建议：

---

厂商补丁：

getbootstrap
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

浏览次数：1316
严重程度：0（网友投票）