漏洞信息详情
TWiki 'origurl'跨站脚本攻击漏洞
- CNNVD编号:CNNVD-201105-199
- 危害等级: 中危
- CVE编号: CVE-2011-1838
- 漏洞类型: 跨站脚本
- 发布时间: 2011-05-19
- 威胁类型: 远程
- 更新时间: 2011-05-23
- 厂 商: twiki
- 漏洞来源:
漏洞简介
TWiki是美国软件开发者Peter Thoeny所研发的一套基于Perl语言的开源Wiki程序,是一个基于Web的网站协作平台,它可用于项目开发管理、文档管理、知识库管理以及其他协作工作。
TWiki 5.0.2之前版本中存在跨站脚本攻击漏洞。该漏洞是由于向bin/login/Sandbox/WebHome发送的“origurl”参数在lib/TWiki/LoginManager/TemplateLogin.pm中还有经过正确过滤就返回给了用户,远程攻击者可以利用此漏洞执行任意HTML和脚本代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.twiki.org/cgi-bin/view/Codev/DownloadTWiki
参考网址
来源: VUPEN
名称: ADV-2011-1258
链接:http://www.vupen.com/english/advisories/2011/1258
来源: BID
名称: 47899
链接:http://www.securityfocus.com/bid/47899
来源: BUGTRAQ
名称: 20110518 XSS vulnerability in TWiki < 5.0.2
链接:http://www.securityfocus.com/archive/1/archive/1/518038/100/0/threaded
来源: www.mavitunasecurity.com
链接:http://www.mavitunasecurity.com/XSS-vulnerability-in-Twiki/
来源: twiki.org
链接:http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2011-1838
来源: SECTRACK
名称: 1025542
链接:http://securitytracker.com/id?1025542
来源: SECUNIA
名称: 44594
链接:http://secunia.com/advisories/44594
受影响实体
- Twiki Twiki:5.0.1
- Twiki Twiki:4.2.0
- Twiki Twiki:4.1.1
- Twiki Twiki:4.2.1
- Twiki Twiki:4.5.0
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论