正文

Dotclear 跨站脚本漏洞

admin
admin V管理员 /0 评论 /8 阅读
0113
此篇文章发布距今已超过1212天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Dotclear 跨站脚本漏洞

  • CNNVD编号:CNNVD-201612-798
    • <!--
  • 危害等级: 低危-->
  • 危害等级: 低危
  • CVE编号: CVE-2016-9891
  • 漏洞类型: 跨站脚本
  • 发布时间: 2016-12-30
  • 威胁类型: 远程
  • 更新时间: 2016-12-30
  • 厂        商: dotclear
  • 漏洞来源:

漏洞简介

Dotclear是软件开发者Olivier Meunier所研发的一套免费的基于PHP和MySQL的博客(Blog)发布软件。

Dotclear 2.11之前的版本中的admin/media.php和admin/media_item.ph文件存在跨站脚本漏洞。远程攻击者可借助‘upfiletitle’或‘media_title’参数利用该漏洞注入任意的Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://dotclear.org/blog/post/2016/12/28/Dotclear-2.11

参考网址

来源:hg.dotclear.org

链接:https://hg.dotclear.org/dotclear/rev/712559193a6e

来源:dev.dotclear.org

链接:https://dev.dotclear.org/2.0/changeset/5536ac77e915

来源:smarterbitbybit.com

链接:https://smarterbitbybit.com/cve-2016-9891-dotclear-xss-vulnerability-in-version-2-10-4/

来源:dev.dotclear.org

链接:https://dev.dotclear.org/2.0/ticket/2224

来源:dotclear.org

链接:https://dotclear.org/blog/post/2016/12/28/Dotclear-2.11

受影响实体

  • Dotclear Dotclear:2.10.4  
    <!--
    2000-1-1
    -->

补丁

  • Dotclear 跨站脚本漏洞的修复措施
    <!--
    2016-12-30
    -->