漏洞信息详情

Synetics i-doit pro 跨站脚本漏洞

• CNNVD编号：CNNVD-201402-112
• 危害等级： 中危
  
• CVE编号： CVE-2014-1237
• 漏洞类型： 跨站脚本
• 发布时间： 2014-02-13
• 威胁类型： 远程
• 更新时间： 2014-02-13
• 厂        商： i-doit
• 漏洞来源：

漏洞简介

Synetics i-doit是德国Synetics公司的一个基于Web的开源IT文档和CMDB（配置管理数据库），它能够记录IT系统及其变化的信息，同时针对系统变化制定应急方案，最终确保IT网络稳定、高效的运作。

Synetics i-doit pro 1.2.4之前的版本中存在跨站脚本漏洞，远程攻击者可借助‘call’参数利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.i-doit.com/en/company/news/single-news/?tx_ttnews%5Btt_news%5D=136

参考网址

来源: www.i-doit.com

链接:http://www.i-doit.com/en/company/news/single-news/?tx_ttnews%5Btt_news%5D=136

来源: www.csnc.ch

链接:http://www.csnc.ch/misc/files/advisories/CVE-2014-1237_i-doit_Cross-site_Scripting_-_XSS.txt

来源: SECUNIA

名称: 56834

链接:http://secunia.com/advisories/56834

来源: SECUNIA

名称: 56802

链接:http://secunia.com/advisories/56802

来源: FULLDISC

名称: 20140205 CVE-2014-1237 (XSS in i-doit Pro)

链接:http://seclists.org/fulldisclosure/2014/Feb/26

来源: OSVDB

名称: 102910

链接:http://osvdb.org/102910

受影响实体

• I-Doit I-Doit:1.1.1:~~Pro~~~  
• I-Doit I-Doit:1.1.2:~~Pro~~~  
• I-Doit I-Doit:1.2.1:~~Pro~~~  
• I-Doit I-Doit:1.2.2:~~Pro~~~  
• I-Doit I-Doit:1.2.3:~~Pro~~~  

补丁

暂无