漏洞信息详情

OpenX 跨站脚本漏洞

• CNNVD编号：CNNVD-201210-195
• 危害等级： 中危
  
• CVE编号： CVE-2012-4989
• 漏洞类型： 跨站脚本
• 发布时间： 2012-10-16
• 威胁类型： 远程
• 更新时间： 2012-10-16
• 厂        商： openx
• 漏洞来源：

漏洞简介

OpenX（前称phpAdsNew）是美国OpenX公司的一套开源的广告管理与跟踪系统。该系统提供一个横幅广告管理界面，支持电子邮件通知客户广告统计信息的功能。

OpenX中存在漏洞，可被恶意攻击者利用进行跨站脚本攻击。该漏洞源于通过‘parent’GET参数传送到/www/admin/plugin-index.php脚本，在返回给用户之前没有正确验证输入。攻击者可利用该漏洞在受影响站点上下文中用户浏览器会话中执行执行任意HTML和脚本代码。2.8.10版本中存在漏洞，其他版本也可能受到影响。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://svn.openx.org/openx/trunk/www/admin/campaign-zone-link.php

参考网址

来源: www.htbridge.com

链接:https://www.htbridge.com/advisory/HTB23116

来源: svn.openx.org

链接:https://svn.openx.org/openx/trunk/lib/templates/admin/plugin-group-view.HTML

来源: XF

名称: openx-pluginindex-xss(79196)

链接:http://xforce.iss.net/xforce/xfdb/79196

来源: BID

名称: 55860

链接:http://www.securityfocus.com/bid/55860

来源: SECUNIA

名称: 50877

链接:http://secunia.com/advisories/50877

来源: OSVDB

名称: 86092

链接:http://osvdb.org/86092

来源: BUGTRAQ

名称: 20121010 Multiple vulnerabilities in OpenX

链接:http://archives.neohapsis.com/archives/bugtraq/2012-10/0065.HTML

受影响实体

• Openx Openx:2.8.10  

补丁

• openx-2.8.10