漏洞信息详情

Easy PHP Calendar 多个跨站脚本漏洞

• CNNVD编号：CNNVD-201304-246
• 危害等级： 中危
  
• CVE编号： CVE-2013-1955
• 漏洞类型： 跨站脚本
• 发布时间： 2013-04-17
• 威胁类型： 远程
• 更新时间： 2013-04-17
• 厂        商： nashtech
• 漏洞来源： Anant Shrivastava

漏洞简介

Easy PHP Calendar是一个功能强大的PHP日历脚本，可以方便的嵌入网站。

Easy PHP Calendar 7.0.13之前的版本中存在多个跨站脚本漏洞，这些漏洞源于程序未充分过滤用户提供的输入。当用户浏览被影响的网站时，其浏览器将执行攻击者提供的任意脚本代码，这可能导致攻击者窃取基于cookie的身份认证并发起其它攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.openwall.com/lists/oss-security/2013/04/16/6

参考网址

来源: MLIST

名称: [oss-security] 20130416 Re: CVE for XSS in EasyPHPCalender script

链接:http://www.openwall.com/lists/oss-security/2013/04/16/6

来源: www.easyphpcalendar.com

链接:http://www.easyphpcalendar.com/forums/showthread.php?p=4555

来源: docs7.easyphpcalendar.com

链接:http://docs7.easyphpcalendar.com/source/ChangeLog/changeLog.htm

来源:SECUNIA

名称:53024

链接:http://secunia.com/advisories/53024

来源: BID

名称: 59076

链接:http://www.securityfocus.com/bid/59076

受影响实体

• Nashtech Easy_php_calendar:7.0.00  
• Nashtech Easy_php_calendar:7.0.01  
• Nashtech Easy_php_calendar:7.0.02  
• Nashtech Easy_php_calendar:7.0.03  
• Nashtech Easy_php_calendar:7.0.04  

补丁

暂无