漏洞信息详情

Bitweaver跨站脚本漏洞

• CNNVD编号：CNNVD-200809-427
• 危害等级： 中危
  
• CVE编号： CVE-2008-4337
• 漏洞类型： 跨站脚本
• 发布时间： 2008-09-30
• 威胁类型： 远程
• 更新时间： 2008-10-01
• 厂        商： bitweaver
• 漏洞来源： Michael Schratt

漏洞简介

bitweaver是一个高度模块化的内容管理系统。

Bitweaver 2.0.2存在跨站脚本攻击漏洞，远程攻击者可以通过对(1) edit.php 和 (2) articles/中的list.php ; (3) list_blogs.php 和 (4) blogs/中的rankings.php ; (5) calendar/index.php; (6) calendar.php, (7) index.php, 以及 (8) events/的list_events.php; (9) index.php 和 (10) fisheye/的list_galleries.php in ; (11) liberty/list_content.php; (12) newsletters/edition.php; (13) pigeonholes/list.php; (14) recommends/index.php; (15) rss/index.php; (16) stars/index.php; (17) users/remind_password.php; (18) wiki/orphan_pages.php; 以及 (19) stats/index.php的URL参数，以执行任意web脚本或HTML。

漏洞公告

参考网址

来源: XF

名称: bitweaver-editlistindex-xss(45409)

链接:http://xforce.iss.net/xforce/xfdb/45409

来源: BID

名称: 31395

链接:http://www.securityfocus.com/bid/31395

来源: SECUNIA

名称: 32014

链接:http://secunia.com/advisories/32014

受影响实体

• Bitweaver Bitweaver:2.0.2  

补丁

暂无