漏洞信息详情
Novemberborn sIFR 跨站脚本攻击漏洞
- CNNVD编号:CNNVD-200801-371
- 危害等级: 中危
- CVE编号: CVE-2008-0438
- 漏洞类型: 跨站脚本
- 发布时间: 2008-01-23
- 威胁类型: 远程
- 更新时间: 2008-09-05
- 厂 商: novemberborn
- 漏洞来源: Jan Fry of ProChec...
漏洞简介
Novemberborn sIFR 2.0.2的字型翻译功能程序(font rendering functionality)中存在跨站脚本攻击漏洞。远程攻击者可以通过txt参数到达Flash (SWF) 文件(例如:fonts/FuturaLt.swf),注入任意Web脚本或HTML。
漏洞公告
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://dev.novemberborn.net/sifr3/nightlies/sifr3-r278.zip
参考网址
来源: BID
名称: 27394
链接:http://www.securityfocus.com/bid/27394
来源: BUGTRAQ
名称: 20080205 Re: PR07-38: XSS on sIFR
链接:http://www.securityfocus.com/archive/1/archive/1/487585/100/200/threaded
来源: BUGTRAQ
名称: 20080122 PR07-38: XSS on sIFR
链接:http://www.securityfocus.com/archive/1/archive/1/486787/100/0/threaded
来源: MISC
链接:http://www.procheckup.com/Vulnerability_PR07-38.php
来源: XF
名称: sifr-fontname-xss(39835)
链接:http://xforce.iss.net/xforce/xfdb/39835
来源: BUGTRAQ
名称: 20080122 Re: PR07-38: XSS on sIFR
链接:http://www.securityfocus.com/archive/1/archive/1/486829/100/0/threaded
来源: SREASON
名称: 3571
链接:http://securityreason.com/securityalert/3571
来源: novemberborn.net
链接:http://novemberborn.net/sifr/2.0.3
受影响实体
- Novemberborn Sifr:2.0.2
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论