漏洞信息详情

MODx Evolution 跨站脚本漏洞

• CNNVD编号：CNNVD-201403-006
• 危害等级： 中危
  
• CVE编号： CVE-2014-2080
• 漏洞类型： 跨站脚本
• 发布时间： 2014-03-03
• 威胁类型： 远程
• 更新时间： 2014-03-03
• 厂        商： modx
• 漏洞来源：

漏洞简介

MODx Evolution是美国MODX公司的一套功能强大的新一代Web2.0开源内容管理系统（CMS）。该系统支持在线协作、搜索引擎优化（SEO）、附加组件等。

MODx Evolution 2.2.11之前的版本中的manager/templates/default/header.tpl文件存在跨站脚本漏洞。远程攻击者可借助‘a’参数利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://modx.com/blog/2014/01/21/revolution-2.2.11%E2%80%94security-fixes-and-prevent-change-loss/

参考网址

来源: github.com

链接:https://github.com/modxCMS/revolution/commit/77463eb6a8090f474b04fdc1b72225cb93c558ea

来源: SECUNIA

名称: 57038

链接:http://secunia.com/advisories/57038

来源: MLIST

名称: [oss-security] 20140224 Re: CVE request: XSS in MODX Revolution before 2.2.11

链接:http://seclists.org/oss-sec/2014/q1/431

来源: modx.com

链接:http://modx.com/blog/2014/01/21/revolution-2.2.11%E2%80%94security-fixes-and-prevent-change-loss

受影响实体

• Modx Modx_revolution:2.0.4  
• Modx Modx_revolution:2.0.0  
• Modx Modx_revolution:2.0.1  
• Modx Modx_revolution:2.0.5  
• Modx Modx_revolution:2.0.6  

补丁

• modx-2.2.11-pl