漏洞信息详情

Dokeos 跨站脚本漏洞

• CNNVD编号：CNNVD-201403-237
• 危害等级： 中危
  
• CVE编号： CVE-2014-1877
• 漏洞类型： 跨站脚本
• 发布时间： 2014-03-17
• 威胁类型： 远程
• 更新时间： 2014-03-17
• 厂        商： dokeos_project
• 漏洞来源：

漏洞简介

Dokeos是一套开源的网上教育与课程管理系统。该系统支持文件上传、课件制作、通知发布等教学辅助功能。

Dokeos 2.1.1版本中存在跨站脚本漏洞，该漏洞源于main/auth/profile.php脚本没有正确过滤‘Phone’，‘Street’，‘Address line’，‘Zip code’，‘City’字段，main/social/groups.php脚本没有过滤‘Subject’参数，main/messages/view_message.php脚本没有过滤‘Message body’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.dokeos.com/

参考网址

来源: XF

名称: dokeos-cve20141877-xss(91295)

链接:http://xforce.iss.net/xforce/xfdb/91295

来源: www.xchg.info

链接:http://www.xchg.info/?p=381

来源: MLIST

名称: [oss-security] 20140207 Re: Dokeos 2.1.1 Multiple Stored XSS Vulnerabilities

链接:http://seclists.org/oss-sec/2014/q1/286

来源: MLIST

名称: [oss-security] 20140206 Dokeos 2.1.1 Multiple Stored XSS Vulnerabilities

链接:http://seclists.org/oss-sec/2014/q1/258

受影响实体

• Dokeos_project Dokeos:2.1.1  

补丁

暂无