漏洞信息详情
Kasseler CMS 跨站请求伪造漏洞
- CNNVD编号:CNNVD-201307-081
- 危害等级: 中危
- CVE编号: CVE-2013-3729
- 漏洞类型: 跨站请求伪造
- 发布时间: 2013-07-03
- 威胁类型: 远程
- 更新时间: 2014-03-17
- 厂 商: kasseler-CMS
- 漏洞来源: High-Tech Bridge S...
漏洞简介
Kasseler CMS是一套动态门户引擎和内容管理系统,它包含相册、论坛等模块。
Kasseler CMS 2.r1223及之前的版本中存在跨站请求伪造漏洞,该漏洞源于发送执行操作时,sendmail模块没有充分过滤‘groups[]’参数,当执行sql_query操作时,admin.php脚本没有充分过滤‘query’参数。远程攻击者可利用该漏洞实施SQL注入攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://diff.kasseler-CMS.net/svn/patches/1232.HTML
参考网址
来源: diff.kasseler-CMS.net
链接:http://diff.kasseler-CMS.net/svn/patches/1232.HTML
来源: www.htbridge.com
链接:https://www.htbridge.com/advisory/HTB23158
来源: BUGTRAQ
名称: 20130703 Multiple Vulnerabilities in Kasseler CMS
链接:http://seclists.org/bugtraq/2013/Jul/26
来源: packetstormsecurity.com
链接:http://packetstormsecurity.com/files/122282/Kasseler-CMS-2-r1223-CSRF-XSS-SQL-Injection.HTML
来源: OSVDB
名称: 94781
链接:http://osvdb.org/94781
来源: diff.kasseler-CMS.net
链接:http://diff.kasseler-CMS.net/svn.HTML
来源: BID
名称: 60929
链接:http://www.securityfocus.com/bid/60929
受影响实体
补丁
- includes-function-kernel.php
- includes-function-gets.php
- index.php
- includes-Javascript-kr_ajax.js
- includes-function-templates.php
评论