漏洞信息详情

Foswiki多个参数跨站脚本漏洞

• CNNVD编号：CNNVD-201202-144
• 危害等级： 中危
  
• CVE编号： CVE-2012-1004
• 漏洞类型： 跨站脚本
• 发布时间： 2012-02-09
• 威胁类型： 远程
• 更新时间： 2012-02-09
• 厂        商： foswiki
• 漏洞来源：

漏洞简介

Foswiki是一个用 Perl 语言开发的 Wiki 软件，是一个真正的自由且开放源码的Wiki和用户建立应用程式的平台，适合公共和企业环境使用。

Foswiki 1.1.5之前版本的UI/Register.pm中存在多个跨站脚本漏洞（XSS）。拥有CHANGE权限的远程认证用户可利用此漏洞借助（1）text（2）FirstName（3） LastName（4） OrganisationName（5） OrganisationUrl（6）Profession（7）Country（8） State（9）Address（10） Location（11） Telephone（12） VoIP（13） InstantMessagingIM（14） Email（15） HomePage或（16）Comment 参数，注入任意web脚本或HTML。

漏洞公告

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://foswiki.org/

参考网址

来源: st2tea.blogspot.com

链接:http://st2tea.blogspot.com/2012/02/foswiki-cross-site-scripting.HTML

来源: SECUNIA

名称: 47849

链接:http://secunia.com/advisories/47849

来源: foswiki.org

链接:http://foswiki.org/Tasks/Item11501

来源: foswiki.org

链接:http://foswiki.org/Tasks/Item11498

来源: foswiki.org

链接:http://foswiki.org/Support/SecurityAlert-CVE-2012-1004

受影响实体

• Foswiki Foswiki:1.1.3  
• Foswiki Foswiki:1.1.4  
• Foswiki Foswiki:1.1.4:Rc  
• Foswiki Foswiki:1.1.4:Beta  
• Foswiki Foswiki:1.1.2  

补丁

暂无