漏洞信息详情
Six Apart Movable Type Rich Text Editor组件跨站脚本漏洞
- CNNVD编号:CNNVD-201401-157
- 危害等级: 中危
- CVE编号: CVE-2014-0977
- 漏洞类型: 跨站脚本
- 发布时间: 2014-01-13
- 威胁类型: 远程
- 更新时间: 2014-01-13
- 厂 商: sixapart
- 漏洞来源:
漏洞简介
Six Apart Movable Type(MT)是美国Six Apart公司的一套博客(blog)系统。
Six Apart Movable Type中的Rich Text Editor组件中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML。以下版本受到影响:Movable Type 5.0x版本,5.161之前的5.1x版本,5.2.9之前的5.2.x版本,6.0.1之前的6.0.x版本。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://movabletype.org/news/2013/11/movable_type_601_529_and_5161_released_to_close_security_vul.HTML
参考网址
来源: XF
名称: movabletype-richtexteditor-xss(90095)
链接:http://xforce.iss.net/xforce/xfdb/90095
来源: BID
名称: 64657
链接:http://www.securityfocus.com/bid/64657
来源: SECUNIA
名称: 56295
链接:http://secunia.com/advisories/56295
来源: MLIST
名称: [oss-security] 20140107 Re: CVE Request: cross-site scripting vulnerabilities in movable type 6.0.1, 5.2.9, and 5.161
链接:http://seclists.org/oss-sec/2014/q1/36
来源: MLIST
名称: [oss-security] 20140106 CVE Request: cross-site scripting vulnerabilities in movable type 6.0.1, 5.2.9, and 5.161
链接:http://seclists.org/oss-sec/2014/q1/24
来源: movabletype.org
链接:http://movabletype.org/news/2013/11/movable_type_601_529_and_5161_released_to_close_security_vul.HTML
来源: bugs.debian.org
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=734304
受影响实体
- Sixapart Movabletype:5.0:Rc2
- Sixapart Movabletype:5.01
- Sixapart Movabletype:5.02
- Sixapart Movabletype:5.03
- Sixapart Movabletype:5.031
补丁
- MTOS-5.2.9
- MTOS-5.2.9
- MTOS-5.161-en
- MTOS-5.161-en
评论