漏洞信息详情
Xinha Serendipity Xinha WYSIWYG editor动态配置功能权限许可和访问控制漏洞
- CNNVD编号:CNNVD-201005-173
- 危害等级: 中危
- CVE编号: CVE-2010-1916
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2010-05-12
- 威胁类型: 远程
- 更新时间: 2010-05-12
- 厂 商: xinha
- 漏洞来源:
漏洞简介
Serendipity是一个采用PHP实现的 weblog/blog系统。它功能丰富,符合标准,基于BSDLicense开源。
Serendipity使用的Xinha WYSIWYG editor的动态配置功能存在漏洞,由于可知或可受外部影响的共享密钥的SHA1哈希所使用的特制 backend_config_secret_key_location和backend_config_hash参数无法被\"deprecated config pass\"特性正确处理,远程攻击者可通过(1)上述参数,或(2)xinha_read_passed_data函数无法正确处理的特制backend_data和backend_data[key_location]变量,绕开访问限制,并修改任意插件的配置。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
参考网址
来源: MISC
链接:http://www.php-security.org/2010/05/10/mops-2010-020-xinha-wysiwyg-plugin-configuration-injection-vulnerability/index.HTML
来源: MISC
链接:http://www.php-security.org/2010/05/10/mops-2010-019-serendipity-wysiwyg-editor-plugin-configuration-injection-vulnerability/index.HTML
受影响实体
- Xinha Wysiwyg_editor:0.9:Beta
- Xinha Wysiwyg_editor:0.91:Beta
- Xinha Wysiwyg_editor:0.92:Beta
- Xinha Wysiwyg_editor:0.93
- Xinha Wysiwyg_editor:0.94
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论