漏洞信息详情
Gallery 多个跨站脚本漏洞
- CNNVD编号:CNNVD-201306-271
- 危害等级: 中危
- CVE编号: CVE-2013-2138
- 漏洞类型: 输入验证
- 发布时间: 2013-05-31
- 威胁类型: 远程
- 更新时间: 2013-10-11
- 厂 商: menalto
- 漏洞来源: Mala and Dhaval Ch...
漏洞简介
Gallery是美国软件开发者Bharat Mediratta所研发的一款基于Web的开源相册管理器。该管理器支持对相片自动生成缩略图、改变大小、排序等。
Gallery 3.0.8之前的3版本中的uploadify和flowplayer SWF文件中存在安全漏洞,该漏洞源于程序没有正确删除查询参数和段。远程攻击者可利用该漏洞实施重放攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://galleryproject.org/gallery_3_0_8
参考网址
来源: github.com
链接:https://github.com/gallery/gallery3/commit/80bb0f2222dd99ed2ce59e804b833bab63cc376a
来源: github.com
链接:https://github.com/gallery/gallery3/commit/3e5bba2cd4febe8331c0158c11ea418f21c72efa
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=970596
来源: MLIST
名称: [oss-security] 20130604 Re: CVE Request -- Gallery < 3.0.8 - Improper stripping of URL fragments in uploadify and flowplayer SWF files might lead to replay attacks
链接:http://www.openwall.com/lists/oss-security/2013/06/04/9
来源: sourceforge.net
链接:http://sourceforge.net/apps/trac/gallery/ticket/2070
来源: sourceforge.net
链接:http://sourceforge.net/apps/trac/gallery/ticket/2068
来源: galleryproject.org
链接:http://galleryproject.org/gallery_3_0_8
来源: BID
名称: 60313
链接:http://www.securityfocus.com/bid/60313
受影响实体
- Menalto Gallery:3.0
- Menalto Gallery:3.0:Beta1
- Menalto Gallery:3.0:Beta2
- Menalto Gallery:3.0:Beta3
- Menalto Gallery:3.0:Rc1
补丁
- gallery-3.0.8
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论