漏洞信息详情
Simple Machines Forum 输入验证漏洞
- CNNVD编号:CNNVD-201404-573
- 危害等级: 中危
- CVE编号: CVE-2013-7236
- 漏洞类型: 输入验证
- 发布时间: 2014-04-29
- 威胁类型: 远程
- 更新时间: 2014-05-04
- 厂 商: simplemachines
- 漏洞来源:
漏洞简介
Simple Machines Forum(SMF)是美国SMF团队开发的一套开源、专业级的论坛软件包,它包含一个能够完全掌控论坛界面和布局的可定制模板引擎,并提供一种可实现论坛与网站相互给合的SSI(Server Side Includes)技术。
SMF 2.0.6版本和1.1.19及之前的版本中存在安全漏洞。远程攻击者可借助用户名的Unicode homoglyph字符利用该漏洞冒充任意用户。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.simplemachines.org/
参考网址
来源:FULLDISC
名称:20131213 Multiple vulnerabilities in SMF forum software
链接:http://seclists.org/fulldisclosure/2013/Dec/83
来源:MLIST
名称:[oss-security] 20131230 CVE request: SMF 1.1.19, 2.0.6
链接:http://www.openwall.com/lists/oss-security/2013/12/30/1
来源:www.jakoblell.com
链接:http://www.jakoblell.com/blog/2013/12/13/multiple-vulnerabilities-in-smf-forum-software/
来源:MLIST
名称:[oss-security] 20131229 Re: CVE request: SMF 1.1.19, 2.0.6
链接:http://www.openwall.com/lists/oss-security/2013/12/30/3
受影响实体
- Simplemachines Simple_machines_forum:1.0.22
- Simplemachines Simple_machines_forum:1.0.23
- Simplemachines Simple_machines_forum:1.0.3
- Simplemachines Simple_machines_forum:1.0.4
- Simplemachines Simple_machines_forum:1.0.5
补丁
- smf_2-0-7_install
- smf_2-0-7_install
- smf_2-0-7_install
评论