漏洞信息详情
Omeka HTML注入和跨站请求伪造漏洞
- CNNVD编号:CNNVD-201407-543
- 危害等级: 中危
- CVE编号: CVE-2014-5100
- 漏洞类型: 跨站请求伪造
- 发布时间: 2014-07-25
- 威胁类型: 远程
- 更新时间: 2014-07-28
- 厂 商: omeka
- 漏洞来源: Gjoko Krstic
漏洞简介
Omeka是美国乔治梅森大学(George Mason University)的罗伊-罗森茨维格历史和新媒体中心(Roy Rosenzweig CHNM)的Omeka团队开发的一套用于展览图书馆、博物馆、档案馆和学术收藏品的Web发布平台。
Omeka 2.2.1之前版本中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞通过向admin/users/add发送请求利用该漏洞创建超极用户账户;借助admin/users/api-keys/1 URI中的‘api_key_label’参数利用该漏洞实施跨站脚本攻击;通过向admin/settings/edit-security URI发送请求利用该漏洞禁用文件验证。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://omeka.org/codex/Release_Notes_for_2.2.1
参考网址
来源:EXPLOIT-DB
链接:http://www.exploit-db.com/exploits/34100
来源:omeka.org
链接:http://omeka.org/codex/Release_Notes_for_2.2.1
来源:XF
链接:http://xforce.iss.net/xforce/xfdb/94689
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/127523/Omeka-2.2-Cross-Site-Request-Forgery-Cross-Site-Scripting.HTML
来源:BID
链接:http://www.securityfocus.com/bid/68707
来源:www.zeroscience.mk
链接:http://www.zeroscience.mk/codes/omeka_csrfxss.txt
来源:omeka.org
链接:http://omeka.org/blog/2014/07/16/omeka-2-2-1-security-update-released
来源:www.zeroscience.mk
链接:http://www.zeroscience.mk/en/vulnerabilities/ZSL-2014-5193.php
来源:XF
链接:http://xforce.iss.net/xforce/xfdb/94690
受影响实体
- Omeka Omeka:2.2
补丁
- omeka-2.2.1
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论