漏洞信息详情
LimeSurvey ‘admin/userrighthandling.php’跨站脚本漏洞
- CNNVD编号:CNNVD-201209-411
- 危害等级: 中危
- CVE编号: CVE-2012-4995
- 漏洞类型: 跨站脚本
- 发布时间: 2012-09-21
- 威胁类型: 远程
- 更新时间: 2012-09-21
- 厂 商: limesurvey
- 漏洞来源:
漏洞简介
LimeSurvey(前称PHPSurveyor)是LimeSurvey团队开发的一套开源的在线问卷调查程序,它支持调查程序开发、调查问卷发布以及数据收集等功能。
LimeSurvey 1.91+ Build 120224之前版本中的admin/userrighthandling.php中存在跨站脚本(XSS)漏洞。远程攻击者可利用该漏洞通过moduser操作中的full_name参数传送到admin/admin.php脚本,执行任意web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://freecode.com/projects/limesurvey/releases/342070
参考网址
来源: XF
名称: limesurvey-fullname-xss(73563)
链接:http://xforce.iss.net/xforce/xfdb/73563
来源: www.limesurvey.org
链接:http://www.limesurvey.org/en/stable-release
来源: SECUNIA
名称: 48184
链接:http://secunia.com/advisories/48184
来源: OSVDB
名称: 79687
链接:http://osvdb.org/79687
来源: freecode.com
链接:http://freecode.com/projects/limesurvey/releases/342070
受影响实体
- Limesurvey Limesurvey:1.91%2b
- Limesurvey Limesurvey:1.90%2b
- Limesurvey Limesurvey:1.87%2b
- Limesurvey Limesurvey:1.86
- Limesurvey Limesurvey:1.85
补丁
- limesurvey200plus-build121213
评论