漏洞信息详情
Gallery Movie Titles 跨站脚本漏洞
- CNNVD编号:CNNVD-201304-578
- 危害等级: 中危
- CVE编号: CVE-2013-2087
- 漏洞类型: 跨站脚本
- 发布时间: 2013-04-27
- 威胁类型: 远程
- 更新时间: 2014-05-16
- 厂 商: galleryproject
- 漏洞来源: shadlaws
漏洞简介
Gallery是美国软件开发者Bharat Mediratta所研发的一款基于Web的开源相册管理器。该管理器支持对相片自动生成缩略图、改变大小、排序等。
Gallery 3.0.0至3.0.6版本中存在跨站脚本漏洞,该漏洞源于modules/gallery/controllers/movies.php脚本没有充分过滤‘movie title’参数;modules/gallery/views/error_admin.HTML.php脚本没有充分过滤变量。远程攻击者可利用该漏洞注入任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://galleryproject.org/gallery_3_0_7
参考网址
来源:MLIST
名称:[oss-security] 20130513 CVE request: Gallery multiple XSS vulnerabilities
链接:http://www.openwall.com/lists/oss-security/2013/05/13/2
来源:MLIST
名称:[oss-security] 20130514 Re: CVE request: Gallery multiple XSS vulnerabilities
链接:http://www.openwall.com/lists/oss-security/2013/05/14/1
来源:OSVDB
名称:92691
链接:http://osvdb.org/92691
来源:galleryproject.org
链接:http://galleryproject.org/gallery_3_0_7
来源:OSVDB
名称:92740
链接:http://osvdb.org/92740
来源:BID
名称:59469
链接:http://www.securityfocus.com/bid/59469
来源:sourceforge.net
链接:http://sourceforge.net/apps/trac/gallery/ticket/2064
来源: BID
名称: 59471
链接:http://www.securityfocus.com/bid/59471
受影响实体
- Galleryproject Gallery:3.0.6
- Galleryproject Gallery:3.0.5
- Galleryproject Gallery:3.0.4
- Galleryproject Gallery:3.0.3
- Galleryproject Gallery:3.0.2
补丁
- gallery-3.0.7
评论