漏洞信息详情
OCS Inventory NG HTML注入漏洞
- CNNVD编号:CNNVD-201110-268
- 危害等级: 中危
- CVE编号: CVE-2011-4024
- 漏洞类型: 跨站脚本
- 发布时间: 1900-01-01
- 威胁类型: 远程
- 更新时间: 2011-10-24
- 厂 商: ocsinventory-ng
- 漏洞来源: Nicolas Derouet
漏洞简介
OCS Inventory NG(Open Computer and Software Inventory Next Generation)是OCS Inventory团队开发的一套资产管理软件。该软件能够帮助管理员掌握计算机软件安装和配置,以及在HTTP代理和服务器之间实现低网络流量通讯。
OCS Inventory NG 2.0.1及之前的版本中存在HTML注入漏洞。该漏洞源于用户提供的输入被用于生成内容之前没有经过正确的过滤,攻击者提供的的HTML和脚本代码可运行在受影响浏览器的上下文中,并盗取基于cookie的认证证书,控制网站传达给用户的方式,或造成其他的攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.ocsinventory-ng.org/en/download/download-server.HTML
参考网址
来源: XF
名称: ocsinventoryng-unspecified-xss(70406)
链接:http://xforce.iss.net/xforce/xfdb/70406
来源: BID
名称: 50011
链接:http://www.securityfocus.com/bid/50011
来源: www.ocsinventory-ng.org
链接:http://www.ocsinventory-ng.org/fr/accueil/nouvelles/version-2-0-2-stable.HTML
来源: EXPLOIT-DB
名称: 18005
链接:http://www.exploit-db.com/exploits/18005
来源: SECUNIA
名称: 46311
链接:http://secunia.com/advisories/46311
来源: OSVDB
名称: 76135
链接:http://osvdb.org/76135
来源:SECUNIA
名称:46323
链接:http://secunia.com/advisories/46323
受影响实体
- Ocsinventory-Ng Ocs_inventory_ng:2.0.1
- Ocsinventory-Ng Ocs_inventory_ng:1.02.1
- Ocsinventory-Ng Ocs_inventory_ng:1.02:Rc3
- Ocsinventory-Ng Ocs_inventory_ng:1.02:Rc2
- Ocsinventory-Ng Ocs_inventory_ng:1.02:Rc1
补丁
- OCSNG-Windows-Server-Setup
- OCSNG_UNIX_SERVER-2.0.2
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论