漏洞信息详情

Symphony CMS 跨站请求伪造漏洞

• CNNVD编号：CNNVD-201403-503
• 危害等级： 中危
  
• CVE编号： CVE-2013-7346
• 漏洞类型： 跨站请求伪造
• 发布时间： 2014-03-28
• 威胁类型： 远程
• 更新时间： 2020-05-29
• 厂        商： symphony-CMS
• 漏洞来源：

漏洞简介

Symphony CMS是一套采用PHP和MySQL开发的内容管理系统（CMS）。该系统支持搜索引擎优化、模块扩展等。

Symphony CMS 2.3.1及之前版本中存在跨站请求伪造漏洞，该漏洞源于system/authors/ URI没有充分过滤‘sort’参数。远程攻击者可利用该漏洞实施SQL注入攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.getsymphony.com/download/releases/version/2.3.2/

参考网址

来源:BUGTRAQ

链接:http://archives.neohapsis.com/archives/bugtraq/2013-04/0018.HTML

来源:MISC

链接:https://www.htbridge.com/advisory/HTB23148

受影响实体

• Symphony-CMS Symphony_CMS:2.1.1  
• Symphony-CMS Symphony_CMS:2.1.0  
• Symphony-CMS Symphony_CMS:2.0.7  
• Symphony-CMS Symphony_CMS:2.0.6  
• Symphony-CMS Symphony_CMS:2.0.5  

补丁

• symphony-2-2.3.2