漏洞信息详情
Pivotx 跨站脚本漏洞
- CNNVD编号:CNNVD-201507-205
- 危害等级: 中危
- CVE编号: CVE-2015-5456
- 漏洞类型: 跨站脚本
- 发布时间: 2015-07-09
- 威胁类型: 远程
- 更新时间: 2015-07-09
- 厂 商: pivotx
- 漏洞来源:
漏洞简介
Pivotx是一套开源的博客内容管理系统(Blog CMS)。该系统支持内置评论审查、垃圾信息防护和模板更换等功能。
Pivotx 2.3.11之前版本的modules/formclass.php脚本中的‘form’方法中存在跨站脚本漏洞。远程攻击者可借助‘PATH_INFO’值利用该漏洞注入任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://blog.pivotx.net/archive/2015/06/21/pivotx-2311-released
参考网址
来源:software-talk.org
链接:http://software-talk.org/blog/2015/06/session-fixation-xss-code-execution-vulnerability-pivotx/
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/132474/PivotX-2.3.10-Session-Fixation-XSS-Code-Execution.HTML
来源:blog.pivotx.net
链接:http://blog.pivotx.net/archive/2015/06/21/pivotx-2311-released
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/535860/100/0/threaded
来源:sourceforge.net
链接:http://sourceforge.net/p/pivot-weblog/code/4457/tree//branches/2.3.x/pivotx/modules/formclass.php?diff=51a4cb5e34309d75c0d1612a:4456
受影响实体
- Pivotx Pivotx:2.3.10
补丁
- pivotx_2.3.11
- pivotx_2.3.11
评论