漏洞信息详情
Livezilla 跨站脚本漏洞
- CNNVD编号:CNNVD-201311-466
- 危害等级: 中危
- CVE编号: CVE-2013-6224
- 漏洞类型: 跨站脚本
- 发布时间: 2013-11-28
- 威胁类型: 远程
- 更新时间: 2013-12-12
- 厂 商: livezilla
- 漏洞来源: Curesec Research T...
漏洞简介
LiveZilla是德国LiveZilla公司的一套免费的在线客服系统。该系统提供实时监测访客、离线留言、GeoTracking地图跟踪、访问统计、在线聊天等功能。
LiveZilla 5.1.1.0之前的版本中存在三个跨站脚本漏洞,这些漏洞源于(1)管理员的访客信息面板没有正确过滤用户提交的输入,(2)聊天会话短信没有正确过滤用户提交的输入,(3)呼叫管理员功能没有正确过滤‘Name’字段。远程攻击者可利用这些漏洞注入任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.livezilla.net/board/index.php?/topic/163-livezilla-changelog/
参考网址
来源: cureblog.de
链接:https://cureblog.de/2013/12/cve-2013-6224-cross-site-scripting-in-livezilla
来源: XF
名称: livezilla-cve20136224-xss(89315)
链接:http://xforce.iss.net/xforce/xfdb/89315
来源: www.livezilla.net
链接:http://www.livezilla.net/board/index.php?/topic/163-livezilla-changelog/
来源: FULLDISC
名称: 20131128 CVE-2013-6224: XSS in Livezilla prior version 5.1.1.0
链接:http://seclists.org/fulldisclosure/2013/Nov/208
来源: packetstormsecurity.com
链接:http://packetstormsecurity.com/files/124222
来源: OSVDB
名称: 100402
链接:http://osvdb.org/100402
来源: OSVDB
名称: 100401
链接:http://osvdb.org/100401
来源: OSVDB
名称: 100399
链接:http://osvdb.org/100399
来源: BID
名称: 63998
链接:http://www.securityfocus.com/bid/63998
受影响实体
- Livezilla Livezilla:5.1.0.0
- Livezilla Livezilla:5.0.1.4
- Livezilla Livezilla:5.0.1.3
- Livezilla Livezilla:5.0.1.2
- Livezilla Livezilla:5.0.1.1
补丁
- livezilla-windows-5.1.1.0
评论