漏洞信息详情
Coppermine Photo Gallery多个跨站脚本攻击漏洞
- CNNVD编号:CNNVD-201101-100
- 危害等级: 中危
- CVE编号: CVE-2010-4693
- 漏洞类型: 跨站脚本
- 发布时间: 2011-01-12
- 威胁类型: 远程
- 更新时间: 2011-01-12
- 厂 商: coppermine-gallery
- 漏洞来源: Janek Vind "waraxe"
漏洞简介
Coppermine Photo Gallery(CPG)是Coppermine团队开发的一套基于Web的相册管理系统。该系统提供用户管理、相册密码访问限制和自动生成缩略图等功能。
Coppermine Photo Gallery 1.5.10及之前版本中存在多个跨站脚本攻击漏洞。远程攻击者可以借助向help.php文件传递的(1)h和(2)t参数,或者(3)向searchnew.php文件传递的picfile_XXX参数注入任意web脚本或者HTML。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://coppermine-gallery.net/
参考网址
来源: XF 名称: coppermine-help-searchnew-xss(64344) 链接:http://xforce.iss.net/xforce/xfdb/64344 来源: www.waraxe.us 链接:http://www.waraxe.us/advisory-79.HTML 来源: BID 名称: 45600 链接:http://www.securityfocus.com/bid/45600 来源: BUGTRAQ 名称: 20101228 [waraxe-2010-SA#079] - Reflected XSS in Coppermine 1.5.10 链接:http://www.securityfocus.com/archive/1/archive/1/515479/100/0/threaded 来源: OSVDB 名称: 70174 链接:http://www.osvdb.org/70174 来源: OSVDB 名称: 70173 链接:http://www.osvdb.org/70173 来源: SECUNIA 名称: 42751 链接:http://secunia.com/advisories/42751
受影响实体
- Coppermine-Gallery Coppermine_photo_gallery:1.2.1:B-Nuke
- Coppermine-Gallery Coppermine_photo_gallery:1.2.1
- Coppermine-Gallery Coppermine_photo_gallery:1.2.0:Rc2
- Coppermine-Gallery Coppermine_photo_gallery:1.2
- Coppermine-Gallery Coppermine_photo_gallery:1.1.0
补丁
暂无
评论