漏洞信息详情

refbase 'headerMsg' Parameter 跨站脚本攻击漏洞

• CNNVD编号：CNNVD-200903-086
• 危害等级： 中危
  
• CVE编号： CVE-2008-6400
• 漏洞类型： 跨站脚本
• 发布时间： 2009-03-05
• 威胁类型： 远程
• 更新时间： 2009-06-17
• 厂        商： refbase
• 漏洞来源： refbase

漏洞简介

refbase是一个基于网络的书目管理器，它可以导入和导出各种格式引用(包括BibTeX，尾注，MODS的XML和OpenOffice的)。它可以利用引文格式清单，并提供强大的搜索，丰富的元数据和RSS。 refbase 0.9.5之前的版本中存在跨站脚本攻击漏洞。远程攻击者可以借助对(1)show.php和(2)search.php中的headerMsg参数，注入任意web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：链接：

refbase refbase 0.9

refbase refbase-0.9.5.tar.gz

http://downloads.sourceforge.net/refbase/refbase-0.9.5.tar.gz?modtime=1227137333big_mirror=0

参考网址

来源: BID

名称: 32372

链接: http://www.securityfocus.com/bid/32372

来源: XF

名称: refbase-show-search-xss(46735)

链接: http://xforce.iss.net/xforce/xfdb/46735

来源: sourceforge.net

链接: http://sourceforge.net/project/shownotes.php?release_id=641612

来源: SECUNIA

名称: 32815

链接: http://secunia.com/advisories/32815

受影响实体

• Refbase Refbase:0.6  
• Refbase Refbase:0.6.1:B1  
• Refbase Refbase:0.8.0  
• Refbase Refbase:0.7  
• Refbase Refbase:0.9.0  

补丁

暂无