漏洞信息详情
ExpressionEngine Avtaar Name HTML注入漏洞
- CNNVD编号:CNNVD-200903-470
- 危害等级: 中危
- CVE编号: CVE-2009-1070
- 漏洞类型: 跨站脚本
- 发布时间: 2009-03-26
- 威胁类型: 远程
- 更新时间: 2009-04-07
- 厂 商: expressionengine
- 漏洞来源: Adam Baldwin
漏洞简介
ExpressionEngine是一个灵活,功能丰富的内容管理系统。
ExpressionEngine 1.6.4版本至1.6.6版本以及其可能的早期版本的system/index.php中存在跨站脚本攻击漏洞。远程攻击者可以借助原形参数,注入任意web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
https://secure.expressionengine.com/download.php?ACT=agreement&id=34
参考网址
来源: XF
名称: expressionengine-avatar-xss(49359)
链接: http://xforce.iss.net/xforce/xfdb/49359
来源: BID
名称: 34193
链接: http://www.securityfocus.com/bid/34193
来源: BUGTRAQ
名称: 20090322 ExpressionEngine Persistent Cross-Site Scripting
链接: http://www.securityfocus.com/archive/1/archive/1/502045/100/0/threaded
来源: MISC
链接: http://www.ngenuity.org/wordpress/2009/01/28/ngenuity-2009-003-expressionengine-persistent-cross-site-scripting/
来源: SECUNIA
名称: 34379
链接: http://secunia.com/advisories/34379
来源: expressionengine.com
链接: http://expressionengine.com/docs/changelog.HTML#v167
受影响实体
- Expressionengine Expressionengine:1.6.4
- Expressionengine Expressionengine:1.6.5
- Expressionengine Expressionengine:1.6.6
补丁
暂无
评论