漏洞信息详情

Mahara敏感信息泄露漏洞

• CNNVD编号：CNNVD-201105-158
• 危害等级： 中危
  
• CVE编号： CVE-2011-1404
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2011-05-16
• 威胁类型： 远程
• 更新时间： 2011-05-16
• 厂        商： mahara
• 漏洞来源：

漏洞简介

Mahara 1.3.6之前版本没有正确限制响应AJAX调用中的数据。远程认证用户可以借助与(1)blocktype/myfriends/myfriends.json.php，(2)json/usersearch.php，(3)group/membersearchresults.json.php或(4)json/friendsearch.php有关的请求，获取敏感信息。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： https://launchpad.net/mahara/+milestone/1.3.6

参考网址

来源:launchpad.net

链接:https://launchpad.net/mahara/+milestone/1.3.6

来源: launchpad.net

链接:https://launchpad.net/mahara/+bug/772179

来源: launchpad.net

链接:https://launchpad.net/mahara/+bug/772174

来源: launchpad.net

链接:https://launchpad.net/mahara/+bug/772160

来源: launchpad.net

链接:https://launchpad.net/mahara/+bug/772140

来源: XF

名称: mahara-viewtasksjson-sec-bypass(67395)

链接:http://xforce.iss.net/xforce/xfdb/67395

来源: BID

名称: 47798

链接:http://www.securityfocus.com/bid/47798

来源: SECUNIA

名称: 44433

链接:http://secunia.com/advisories/44433

受影响实体

• Mahara Mahara:1.0.9  
• Mahara Mahara:1.1.2  
• Mahara Mahara:1.0.6  
• Mahara Mahara:1.1.1  
• Mahara Mahara:1.1.0  

补丁

• mahara-1.3.6