漏洞信息详情
SPIP 跨站脚本漏洞
- CNNVD编号:CNNVD-201401-600
- 危害等级: 中危
- CVE编号: CVE-2013-7303
- 漏洞类型: 跨站脚本
- 发布时间: 2014-01-30
- 威胁类型: 远程
- 更新时间: 2014-02-07
- 厂 商: spip
- 漏洞来源:
漏洞简介
SPIP是一套免费的基于Web的内容发布系统。该系统主要用于在线协作。
SPIP 2.1.24及之前的版本和3.0.13之前的3.0.x版本中存在跨站脚本漏洞,该漏洞源于squelettes-dist/formulaires/inscription.php脚本和prive/forms/editer_auteur.php脚本没有充分过滤‘author name’字段。远程攻击者可利用该漏洞注入任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.spip.net/fr_article5665.HTML
http://www.spip.net/fr_article5648.HTML
参考网址
来源: zone.spip.org
链接:http://zone.spip.org/trac/spip-zone/changeset/77768
来源: XF
名称: spip-cve20137303-xss(90643)
链接:http://xforce.iss.net/xforce/xfdb/90643
来源: www.spip.net
链接:http://www.spip.net/fr_article5665.HTML
来源: www.spip.net
链接:http://www.spip.net/fr_article5648.HTML
来源: SECUNIA
名称: 56381
链接:http://secunia.com/advisories/56381
来源: MLIST
名称: [oss-security] 20140120 Re: CVE request: spip: cross-site scripting vulnerability
链接:http://seclists.org/oss-sec/2014/q1/128
来源: MLIST
名称: [oss-security] 20140120 CVE request: spip: cross-site scripting vulnerability
链接:http://seclists.org/oss-sec/2014/q1/123
来源: core.spip.org
链接:http://core.spip.org/projects/spip/repository/revisions/20902
受影响实体
- Spip Spip:2.0.11
- Spip Spip:2.0.10
- Spip Spip:2.0.13
- Spip Spip:2.0.12
- Spip Spip:2.0.5
补丁
- SPIP-v2-1.25
- SPIP-v3.0.13
评论