发布日期：2019-08-06
更新日期：2019-08-06

受影响系统：

Squid Squid 4.7
Squid Squid 4.6
Squid Squid 4.5
Squid Squid 4.4
Squid Squid 4.0.9
Squid Squid 4.0.8
Squid Squid 4.0.7
Squid Squid 4.0.6
Squid Squid 4.0.5
Squid Squid 4.0.4
Squid Squid 4.0.17
Squid Squid 4.0.16
Squid Squid 4.0.10
Squid Squid 4.0

不受影响系统：

Squid Squid 4.8

描述：

---

BUGTRAQ  ID: 109095
CVE(CAN) ID: CVE-2019-13345

Squid是一套代理服务器和Web缓存服务器软件，提供缓存万维网、过滤流量、代理上网等功能。cachemgr.cgi web是其中的一个基于Web的Squid管理模块。
Squid 4.7及之前版本的cachemgr.cgi web模块通过user_name或auth参数时存在跨站脚本执行漏洞，该漏洞源于未验证用户提供的输入。攻击者可利用该漏洞在受影响站点上下文的用户浏览器中执行任意脚本代码。

<*来源：PAZ
  
  链接：https://bugs.squid-cache.org/show_bug.cgi?id=4957
*>

建议：

---

厂商补丁：

Squid
-----
Squid已经为此发布了一个安全公告（CVE-2019-13345）以及相应补丁:
CVE-2019-13345：Bug 4957 - Multiple XSS issues in cachemgr.cgi
链接：https://bugs.squid-cache.org/show_bug.cgi?id=4957

补丁下载：

浏览次数：2037
严重程度：0（网友投票）