漏洞信息详情

Omeka HTML注入和跨站请求伪造漏洞

• CNNVD编号：CNNVD-201407-543
• 危害等级： 中危
  
• CVE编号： CVE-2014-5100
• 漏洞类型： 跨站请求伪造
• 发布时间： 2014-07-25
• 威胁类型： 远程
• 更新时间： 2014-07-28
• 厂        商： omeka
• 漏洞来源： Gjoko Krstic

漏洞简介

Omeka是美国乔治梅森大学（George Mason University）的罗伊-罗森茨维格历史和新媒体中心（Roy Rosenzweig CHNM）的Omeka团队开发的一套用于展览图书馆、博物馆、档案馆和学术收藏品的Web发布平台。

Omeka 2.2.1之前版本中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞通过向admin/users/add发送请求利用该漏洞创建超极用户账户；借助admin/users/api-keys/1 URI中的‘api_key_label’参数利用该漏洞实施跨站脚本攻击；通过向admin/settings/edit-security URI发送请求利用该漏洞禁用文件验证。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://omeka.org/codex/Release_Notes_for_2.2.1

参考网址

来源:EXPLOIT-DB

链接:http://www.exploit-db.com/exploits/34100

来源:omeka.org

链接:http://omeka.org/codex/Release_Notes_for_2.2.1

来源:XF

链接:http://xforce.iss.net/xforce/xfdb/94689

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/127523/Omeka-2.2-Cross-Site-Request-Forgery-Cross-Site-Scripting.HTML

来源:BID

链接:http://www.securityfocus.com/bid/68707

来源:www.zeroscience.mk

链接:http://www.zeroscience.mk/codes/omeka_csrfxss.txt

来源:omeka.org

链接:http://omeka.org/blog/2014/07/16/omeka-2-2-1-security-update-released

来源:www.zeroscience.mk

链接:http://www.zeroscience.mk/en/vulnerabilities/ZSL-2014-5193.php

来源:XF

链接:http://xforce.iss.net/xforce/xfdb/94690

受影响实体

• Omeka Omeka:2.2  

补丁

• omeka-2.2.1