漏洞信息详情
Novell Teaming用户枚举和跨站脚本漏洞
- CNNVD编号:CNNVD-200711-294
- 危害等级: 中危
- CVE编号: CVE-2007-6055
- 漏洞类型: 跨站脚本
- 发布时间: 2007-11-20
- 威胁类型: 远程
- 更新时间: 2009-04-23
- 厂 商: liferay
- 漏洞来源: Michael Kirchner
漏洞简介
Novell Teaming是专为团队协同作业而设计的解决方案,内含各种企业社区网络与工作流程功能。
Novell Teaming通过以下登录表单执行用户认证:
https://teaming.example.com/c/portal/login
对于有效的和无效的用户名,Web应用会返回不同的响应(Please enter a valid login/Auhtentication failed),这就允许攻击者通过字典或暴力猜测攻击推测出是否存在特定的用户名。
Novell Teaming没有正确地验证或转义p_p_state和p_p_mode参数,远程攻击者可以通过提交恶意请求执行跨站脚本攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://support.novell.com/security-alerts
参考网址
来源: VUPEN
名称: ADV-2009-1048
链接:http://www.vupen.com/english/advisories/2009/1048
来源: SECTRACK
名称: 1022063
链接:http://www.securitytracker.com/id?1022063
来源: BUGTRAQ
名称: 20071115 PR07-02: XSS on Liferay Portal Enterprise 4.1.1 login page ('login' parameter)
链接:http://www.securityfocus.com/archive/1/archive/1/483777/100/0/threaded
来源: MISC
链接:http://www.procheckup.com/Vulnerability_PR07-02.php
来源: SECUNIA
名称: 34714
链接:http://secunia.com/advisories/34714
来源: OSVDB
名称: 38702
链接:http://osvdb.org/38702
来源: XF
名称: liferay-portal-login-xss(38503)
链接:http://xforce.iss.net/xforce/xfdb/38503
来源: BID
名称: 26470
链接:http://www.securityfocus.com/bid/26470
来源: SREASON
名称: 3379
链接:http://securityreason.com/securityalert/3379
来源: SECUNIA
名称: 27537
链接:http://secunia.com/advisories/27537
受影响实体
- Liferay Portal:4.1.0
- Liferay Portal:4.1.1
补丁
暂无
评论