漏洞信息详情

LDAP Account Manager ‘current_language’参数跨站脚本漏洞

• CNNVD编号：CNNVD-201310-553
• 危害等级： 中危
  
• CVE编号： CVE-2013-4453
• 漏洞类型： 跨站脚本
• 发布时间： 2013-10-24
• 威胁类型： 远程
• 更新时间： 2013-11-06
• 厂        商： ldap-account-manager
• 漏洞来源： Eric Sesterhenn

漏洞简介

LDAP Account Manager（LAM）是一套Web应用程序，它主要用于管理存储在LDAP目录服务器中的资源（用户、组、DHCP设置等）。

LAM 4.3和4.2.1版本中的templates/login.php脚本中存在跨站脚本漏洞。远程攻击者可借助‘language’参数利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.rusty-ice.de/advisory/advisory_2013001.txt

参考网址

来源: XF

名称: ldapaccountmanager-cve20134453-login-xss(88203)

链接:http://xforce.iss.net/xforce/xfdb/88203

来源: www.rusty-ice.de

链接:http://www.rusty-ice.de/advisory/advisory_2013001.txt

来源: sourceforge.net

链接:http://sourceforge.net/p/lam/bugs/156

来源: SECUNIA

名称: 55413

链接:http://secunia.com/advisories/55413

来源: MLIST

名称: [oss-security] 20131021 Re: CVE Request: LDAP Account Manager XSS in login.php

链接:http://seclists.org/oss-sec/2013/q4/149

来源: OSVDB

名称: 98828

链接:http://osvdb.org/98828

来源: bugs.debian.org

链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=726976

来源: BID

名称: 63254

链接:http://www.securityfocus.com/bid/63254

受影响实体

• Ldap-Account-Manager Ldap_account_manager:4.2.1  
• Ldap-Account-Manager Ldap_account_manager:4.3  

补丁

• ldap-account-manager-4.4.RC1-0.suse.1