漏洞信息详情
Piwigo多个跨站脚本漏洞
- CNNVD编号:CNNVD-201204-512
- 危害等级: 中危
- CVE编号: CVE-2012-2209
- 漏洞类型: 跨站脚本
- 发布时间: 2012-04-27
- 威胁类型: 远程
- 更新时间: 2012-04-27
- 厂 商: piwigo
- 漏洞来源:
漏洞简介
Piwigo是Piwigo团队的一套基于Web的相册软件。该软件支持照片发布、管理、多种浏览方式(类别、标签、时间)等。Batch Manager component是其中的一个管理器组件。
Piwigo中存在多个跨站脚本漏洞。该漏洞源于通过“section”参数(当“page”被设为“configuration”),“installstatus”(当“page”被设为“languages_new”)和“theme”参数(当“page”被设为“theme”)传送至admin.php的输入,在被返回给用户之前未经正确过滤。攻击者可利用该漏洞在受影响站点上下文的用户浏览器会话中执行任意HTML和脚本代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://piwigo.org/bugs/view.php?id=2607
参考网址
来源: www.htbridge.com
链接:https://www.htbridge.com/advisory/HTB23085
来源: BID
名称: 53245
链接:http://www.securityfocus.com/bid/53245
来源: EXPLOIT-DB
名称: 18782
链接:http://www.exploit-db.com/exploits/18782
来源: SECUNIA
名称: 48903
链接:http://secunia.com/advisories/48903
来源: piwigo.org
链接:http://piwigo.org/releases/2.3.4
来源: piwigo.org
链接:http://piwigo.org/forum/viewtopic.php?id=19173
来源: piwigo.org
链接:http://piwigo.org/bugs/view.php?id=2607
来源: BUGTRAQ
名称: 20120425 Multiple vulnerabilities in Piwigo
链接:http://archives.neohapsis.com/archives/bugtraq/2012-04/0196.HTML
受影响实体
- Piwigo Piwigo:2.3.3
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论