Redmine Title参数HTML注入漏洞

受影响系统：



Redmine Redmine <= 0.8.7
描述：



Redmine是开源的项目管理web应用。



Redmine没有正确地定义页面字符编码，将<title>放到了<meta>之前。攻击者可以创建标题编码为UTF-7 JavaScript的页面，当使用启用了自动选择功能的Internet Explorer查看该页面就会执行内嵌的代码。


测试方法：


以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！






ADw-script AD4-alert('XSS'); ADw-/script AD4-


建议：


厂商补丁：


Redmine
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：


http://www.redmine.org/