漏洞信息详情
Pivotx 输入验证漏洞
- CNNVD编号:CNNVD-201507-206
- 危害等级: 中危
- CVE编号: CVE-2015-5457
- 漏洞类型: 输入验证
- 发布时间: 2015-07-09
- 威胁类型: 远程
- 更新时间: 2015-07-13
- 厂 商: pivotx
- 漏洞来源:
漏洞简介
Pivotx是一套开源的博客内容管理系统(Blog CMS)。该系统支持内置评论审查、垃圾信息防护和模板更换等功能。
Pivotx 2.3.11之前版本中存在安全漏洞,该漏洞源于程序使用多个扩展名为文件重命名时,没有验证新的文件扩展名。远程攻击者可借助特制的文件利用该漏洞执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://blog.pivotx.net/archive/2015/06/21/pivotx-2311-released
参考网址
来源:software-talk.org
链接:http://software-talk.org/blog/2015/06/session-fixation-xss-code-execution-vulnerability-pivotx/
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/535860/100/0/threaded
来源:blog.pivotx.net
链接:http://blog.pivotx.net/archive/2015/06/21/pivotx-2311-released
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/132474/PivotX-2.3.10-Session-Fixation-XSS-Code-Execution.HTML
来源:sourceforge.net
链接:http://sourceforge.net/p/pivot-weblog/code/4452/tree//branches/2.3.x/pivotx/fileupload.php?diff=51a4cb5e34309d75c0d1612a:4451
受影响实体
- Pivotx Pivotx:2.3.10
补丁
- pivotx_2.3.11
- pivotx_2.3.11
评论