漏洞信息详情
SPIP ‘editer_auteur.php’ 跨站脚本漏洞
- CNNVD编号:CNNVD-201311-205
- 危害等级: 中危
- CVE编号: CVE-2013-4556
- 漏洞类型: 跨站脚本
- 发布时间: 2013-11-11
- 威胁类型: 远程
- 更新时间: 2013-12-13
- 厂 商: spip
- 漏洞来源: Salvatore Bonaccor...
漏洞简介
SPIP是一套免费的基于Web的内容发布系统。该系统主要用于在线协作。
SPIP 2.1.24之前的版本和3.0.12之前的3.0.x版本中的author页面(prive/formulaires/editer_auteur.php)中存在跨站脚本漏洞。远程攻击者可借助‘url_site’参数利用该漏洞注入任意Web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.spip.net/fr_article5648.HTML
参考网址
来源: www.spip.net
链接:http://www.spip.net/fr_article5648.HTML
来源: www.spip.net
链接:http://www.spip.net/fr_article5646.HTML
来源: SECTRACK
名称: 1029317
链接:http://www.securitytracker.com/id/1029317
来源: MLIST
名称: [oss-security] 20131110 Re: CVE Request: multiple vulnerabilities in spip
链接:http://www.openwall.com/lists/oss-security/2013/11/10/4
来源: SECUNIA
名称: 55551
链接:http://secunia.com/advisories/55551
来源: DEBIAN
名称: DSA-2794
链接:http://lists.debian.org/debian-security-announce/2013/msg00206.HTML
来源: core.spip.org
链接:http://core.spip.org/projects/spip/repository/revisions/20880
来源: core.spip.org
链接:http://core.spip.org/projects/spip/repository/revisions/20879
来源: BID
名称: 63636
链接:http://www.securityfocus.com/bid/63636
受影响实体
- Spip Spip:2.1.14
- Spip Spip:2.1.15
- Spip Spip:2.1.16
- Spip Spip:2.1.17
- Spip Spip:2.0.14
补丁
- spip-3.0.13
- spip-2.1.24
- ecran_securite
评论