漏洞信息详情

ExpressionEngine Avtaar Name HTML注入漏洞

• CNNVD编号：CNNVD-200903-470
• 危害等级： 中危
  
• CVE编号： CVE-2009-1070
• 漏洞类型： 跨站脚本
• 发布时间： 2009-03-26
• 威胁类型： 远程
• 更新时间： 2009-04-07
• 厂        商： expressionengine
• 漏洞来源： Adam Baldwin

漏洞简介

ExpressionEngine是一个灵活，功能丰富的内容管理系统。

ExpressionEngine 1.6.4版本至1.6.6版本以及其可能的早期版本的system/index.php中存在跨站脚本攻击漏洞。远程攻击者可以借助原形参数，注入任意web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

https://secure.expressionengine.com/download.php?ACT=agreement&id=34

参考网址

来源: XF

名称: expressionengine-avatar-xss(49359)

链接: http://xforce.iss.net/xforce/xfdb/49359

来源: BID

名称: 34193

链接: http://www.securityfocus.com/bid/34193

来源: BUGTRAQ

名称: 20090322 ExpressionEngine Persistent Cross-Site Scripting

链接: http://www.securityfocus.com/archive/1/archive/1/502045/100/0/threaded

来源: MISC

链接: http://www.ngenuity.org/wordpress/2009/01/28/ngenuity-2009-003-expressionengine-persistent-cross-site-scripting/

来源: SECUNIA

名称: 34379

链接: http://secunia.com/advisories/34379

来源: expressionengine.com

链接: http://expressionengine.com/docs/changelog.HTML#v167

受影响实体

• Expressionengine Expressionengine:1.6.4  
• Expressionengine Expressionengine:1.6.5  
• Expressionengine Expressionengine:1.6.6  

补丁

暂无