漏洞信息详情

Mayan EDMS 跨站脚本漏洞

• CNNVD编号：CNNVD-201405-516
• 危害等级： 中危
  
• CVE编号： CVE-2014-3840
• 漏洞类型： 跨站脚本
• 发布时间： 2014-05-29
• 威胁类型： 远程
• 更新时间： 2014-05-29
• 厂        商： mayan-edms
• 漏洞来源：

漏洞简介

Mayan EDMS是软件开发者Roberto Rosario所研发的一套文档管理系统。该系统支持电子签名、版本控制和光学字符识别等。

Mayan EDMS 0.13版本的apps/common/templates/calculate_form_title.HTML页面中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://www.mayan-edms.com/

参考网址

来源:MLIST

名称:[oss-security] 20140522 Re: Persistent XSS in Mayan EDMS - document management system

链接:http://seclists.org/oss-sec/2014/q2/352

来源:BID

名称:67552

链接:http://www.securityfocus.com/bid/67552

来源:github.com

链接:https://github.com/mayan-edms/mayan-edms/commit/398c480c10416d76e7c1dcb607e726e8fc988e72

来源:research.openflare.org

链接:http://research.openflare.org/advisories/OF-2014-09/mayan-edbs-storedxss.txt

来源:research.openflare.org

链接:http://research.openflare.org/poc/maya-edms/maya-edms_multiple_xss.avi

来源:MLIST

名称:[oss-security] 20140521 Persistent XSS in Mayan EDMS - document management system

链接:http://seclists.org/oss-sec/2014/q2/349

来源:github.com

链接:https://github.com/mayan-edms/mayan-edms/issues/3

受影响实体

• Mayan-Edms Mayan_edms:0.13  

补丁

• mayan-edms-0.13.1
• mayan-edms-0.13.1