漏洞信息详情

Oxwall和SkaDate Lite 跨站请求伪造漏洞

• CNNVD编号：CNNVD-201407-746
• 危害等级： 中危
  
• CVE编号： CVE-2014-9101
• 漏洞类型： 跨站请求伪造
• 发布时间： 2014-07-30
• 威胁类型： 远程
• 更新时间： 2014-12-01
• 厂        商： oxwall
• 漏洞来源： Gjoko Krstic

漏洞简介

Oxwall是Oxwall基金会的一套免费、开源的、基于PHP和MySQL的社区软件平台，它可通过后台管理系统来控制用户和任意内容、查看统计、管理广告等。Skalfa SkaDate Lite是Skalfa公司的一套开源的建站工具，它可创建交友网站，并支持第三方扩展、项目定制等。

Oxwall 1.7.0 (build 7907和7906)版本和SkaDate Lite 2.0 (build 7651)版本中存在跨站请求伪造漏洞，该漏洞源于admin/users/roles/ URL没有充分过滤‘label’参数；admin/questions/ajax-responder/ URL没有充分过滤AddAccountType操作中‘lang[1][base][questions_account_type_5615100a931845eca8da20cfdf7327e0]’参数和addQuestion操作中‘qst_name’参数；admin/restricted-usernames URL没有充分过滤‘form_name’和‘restrictedUsername’参数。远程攻击者可利用该漏洞实施跨站脚本攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://blog.oxwall.org/2014/11/oxwall-1-7-2-beta-release

参考网址

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/127690/SkaDate-Lite-2.0-CSRF-Cross-Site-Scripting.HTML

来源:BID

链接:http://www.securityfocus.com/bid/68971

来源:EXPLOIT-DB

链接:http://www.exploit-db.com/exploits/34190

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/127652/Oxwall-1.7.0-Cross-Site-Request-Forgery-Cross-Site-Scripting.HTML

来源:www.zeroscience.mk

链接:http://www.zeroscience.mk/en/vulnerabilities/ZSL-2014-5195.php

来源:OSVDB

链接:http://osvdb.org/show/osvdb/109623

来源:OSVDB

链接:http://osvdb.org/show/osvdb/109622

来源:OSVDB

链接:http://osvdb.org/show/osvdb/109624

来源:OSVDB

链接:http://osvdb.org/show/osvdb/109625

来源:www.zeroscience.mk

链接:http://www.zeroscience.mk/en/vulnerabilities/ZSL-2014-5197.php

受影响实体

• Oxwall Oxwall:1.7.0  

补丁

• oxwall-1.7.2