漏洞信息详情
SpiceWorks 跨站脚本漏洞
- CNNVD编号:CNNVD-201406-632
- 危害等级: 低危
- CVE编号: CVE-2014-3740
- 漏洞类型: 跨站脚本
- 发布时间: 2014-06-30
- 威胁类型: 远程
- 更新时间: 2014-09-15
- 厂 商: spiceworks
- 漏洞来源: Dolev Farhi
漏洞简介
SpiceWorks是美国Spiceworks公司的一套针对中小型企业的网络设备管理和监控软件。
SpiceWorks 7.2.00195之前版本中存在跨站脚本漏洞,该漏洞源于portal页面没有充分过滤ticket请求中的‘Summary’字段。远程攻击者可利用该漏洞注入任意Web脚本或HTML。
漏洞公告
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
http://spiceworks.com/
参考网址
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/126596/SpiceWorks-7.2.00174-Cross-Site-Scripting.HTML
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2014/Jun/42
来源:OSVDB
链接:http://osvdb.org/show/osvdb/106916
来源:research.openflare.org
链接:http://research.openflare.org/advisories/OF-2014-07/spiceworks_xss.txt
来源:EXPLOIT-DB
链接:http://www.exploit-db.com/exploits/33330
来源:SECUNIA
链接:http://secunia.com/advisories/58522
来源:research.openflare.org
链接:http://research.openflare.org/poc/OF-2014-07/spiceworks_crafted_ticket.mp4
来源:SECUNIA
链接:http://secunia.com/advisories/58522
来源: BID
链接:http://www.securityfocus.com/bid/67928
来源:NSFOCUS
名称:27011
链接:http://www.nsfocus.net/vulndb/27011
受影响实体
- Spiceworks Spiceworks:7.2.00174
- Spiceworks Spiceworks:7.2.00189
- Spiceworks Spiceworks:7.2.00190
补丁
暂无
评论