漏洞信息详情
XWiki Enterprise HTML注入漏洞
- CNNVD编号:CNNVD-201202-107
- 危害等级: 中危
- CVE编号: CVE-2012-1019
- 漏洞类型: 跨站脚本
- 发布时间: 1900-01-01
- 威胁类型: 远程
- 更新时间: 2012-02-08
- 厂 商: xwiki
- 漏洞来源: Sony
漏洞简介
XWiki Enterprise是一个专业的WIKI程序,含有诸如blog,强劲的权限管理,LDAP认证,PDF导出,等一些企业上运用的功能。
XWiki Enterprise中存在多个HTML注入漏洞,这些漏洞源于对用户提供的数据未进行充分过滤。攻击者可利用此漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码,盗取基于cookie的认证证书进而发起其他攻击。XWiki Enterprise 3.4版本存在此漏洞,其它版本也可能受到影响。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://enterprise.xwiki.org/xwiki/bin/view/Main/
参考网址
来源: BID
名称: 51867
链接:http://www.securityfocus.com/bid/51867
来源: st2tea.blogspot.com
链接:http://st2tea.blogspot.com/2012/02/xwiki-cross-site-scripting.HTML
来源: SECUNIA
名称: 47885
链接:http://secunia.com/advisories/47885
来源: packetstormsecurity.org
链接:http://packetstormsecurity.org/files/109447/XWiki-Enterprise-3.4-Cross-Site-Scripting.HTML
受影响实体
- Xwiki Xwiki_enterprise:3.4
补丁
暂无
评论