漏洞信息详情
Mahara用户配置文件跨站脚本漏洞
- CNNVD编号:CNNVD-200904-448
- 危害等级: 中危
- CVE编号: CVE-2009-0664
- 漏洞类型: 跨站脚本
- 发布时间: 2009-04-23
- 威胁类型: 远程
- 更新时间: 2009-04-29
- 厂 商: mahara
- 漏洞来源: François Ma...
漏洞简介
Catalyst Mahara是新西兰Catalyst IT公司的一套社交网络系统。该系统包含博客、履历表生成器、文件管理器等。
Mahara没有正确地过滤对introduction用户配置文件字段和用户视图某些文本块所传送的输入参数便返回给了用户,远程攻击者可以通过向服务器提交恶意请求执行跨站脚本攻击,导致在用户浏览器会话中注入并执行任意HTML和脚本代码。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.debian.org/security/2009/dsa-1778
参考网址
来源: BID
名称: 34677
链接:http://www.securityfocus.com/bid/34677
来源: DEBIAN
名称: DSA-1778
链接:http://www.debian.org/security/2009/dsa-1778
来源: SECUNIA
名称: 34871
链接:http://secunia.com/advisories/34871
来源: SECUNIA
名称: 34789
链接:http://secunia.com/advisories/34789
来源: OSVDB
名称: 53892
链接:http://osvdb.org/53892
来源: OSVDB
名称: 53891
链接:http://osvdb.org/53891
来源: mahara.org
链接:http://mahara.org/interaction/forum/topic.php?id=532
受影响实体
- Mahara Mahara:1.1.2
- Mahara Mahara:1.0.9
- Mahara Mahara:1.1.1
- Mahara Mahara:1.1.0:Rc1
- Mahara Mahara:1.1.0:Rc2
补丁
暂无
评论