漏洞信息详情
Mayan EDMS 跨站脚本漏洞
- CNNVD编号:CNNVD-201405-516
- 危害等级: 中危
- CVE编号: CVE-2014-3840
- 漏洞类型: 跨站脚本
- 发布时间: 2014-05-29
- 威胁类型: 远程
- 更新时间: 2014-05-29
- 厂 商: mayan-edms
- 漏洞来源:
漏洞简介
Mayan EDMS是软件开发者Roberto Rosario所研发的一套文档管理系统。该系统支持电子签名、版本控制和光学字符识别等。
Mayan EDMS 0.13版本的apps/common/templates/calculate_form_title.HTML页面中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
http://www.mayan-edms.com/
参考网址
来源:MLIST
名称:[oss-security] 20140522 Re: Persistent XSS in Mayan EDMS - document management system
链接:http://seclists.org/oss-sec/2014/q2/352
来源:BID
名称:67552
链接:http://www.securityfocus.com/bid/67552
来源:github.com
链接:https://github.com/mayan-edms/mayan-edms/commit/398c480c10416d76e7c1dcb607e726e8fc988e72
来源:research.openflare.org
链接:http://research.openflare.org/advisories/OF-2014-09/mayan-edbs-storedxss.txt
来源:research.openflare.org
链接:http://research.openflare.org/poc/maya-edms/maya-edms_multiple_xss.avi
来源:MLIST
名称:[oss-security] 20140521 Persistent XSS in Mayan EDMS - document management system
链接:http://seclists.org/oss-sec/2014/q2/349
来源:github.com
链接:https://github.com/mayan-edms/mayan-edms/issues/3
受影响实体
- Mayan-Edms Mayan_edms:0.13
补丁
- mayan-edms-0.13.1
- mayan-edms-0.13.1
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论