漏洞信息详情
Kasseler CMS ‘admin.php’跨站脚本漏洞
- CNNVD编号:CNNVD-201307-083
- 危害等级: 中危
- CVE编号: CVE-2013-3728
- 漏洞类型: 跨站脚本
- 发布时间: 2013-07-03
- 威胁类型: 远程
- 更新时间: 2014-03-17
- 厂 商: kasseler-CMS
- 漏洞来源: High-Tech Bridge S...
漏洞简介
Kasseler CMS是一套动态门户引擎和内容管理系统,它包含相册、论坛等模块。
Kasseler CMS 2.r1223及之前的版本中存在跨站脚本漏洞,该漏洞源于当执行admin_new_category操作时,admin.php脚本没有过滤‘cat’参数。远程攻击者可利用该漏洞以创建分类的权限注入任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://diff.kasseler-CMS.net/svn/patches/1232.HTML
参考网址
来源: diff.kasseler-CMS.net
链接:http://diff.kasseler-CMS.net/svn/patches/1232.HTML
来源: www.htbridge.com
链接:https://www.htbridge.com/advisory/HTB23158
来源: XF
名称: kasselerCMS-cve20133728-admin-xss(85408)
链接:http://xforce.iss.net/xforce/xfdb/85408
来源: BUGTRAQ
名称: 20130703 Multiple Vulnerabilities in Kasseler CMS
链接:http://seclists.org/bugtraq/2013/Jul/26
来源: packetstormsecurity.com
链接:http://packetstormsecurity.com/files/122282/Kasseler-CMS-2-r1223-CSRF-XSS-SQL-Injection.HTML
来源: OSVDB
名称: 94780
链接:http://osvdb.org/94780
来源: diff.kasseler-CMS.net
链接:http://diff.kasseler-CMS.net/svn.HTML
来源: BID
名称: 60927
链接:http://www.securityfocus.com/bid/60927
受影响实体
补丁
- includes-function-gets.php
- index.php
- includes-Javascript-kr_ajax.js
- includes-function-templates.php
- includes-function-kernel.php
评论