正文

Mahara "resume blocktype" 跨站脚本漏洞

admin
admin V管理员 /0 评论 /6 阅读
0105
此篇文章发布距今已超过1218天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Mahara "resume blocktype" 跨站脚本漏洞

  • CNNVD编号:CNNVD-200911-023
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2009-3299
  • 漏洞类型: 跨站脚本
  • 发布时间: 2009-11-03
  • 威胁类型: 远程
  • 更新时间: 2009-11-04
  • 厂        商: mahara
  • 漏洞来源: Ruslan Kabalin

漏洞简介

Mahara是一个开源的电子文件夹、网络日志、履历表生成器和社会联网系统。 Mahara没有正确地验证传送给resume blocktype的输入参数便返回给了用户,这可能导致跨站脚本攻击; Mahara 1.0.13版之前版本和1.1.7版之前的1.1.x版的resume blocktype中的跨站脚本(XSS)脆弱性允许远程攻击者借助未加规定向量,注入任意web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: http://www.debian.org/security/2009/dsa-1924

参考网址

来源: VUPEN 名称: ADV-2009-3101 链接:http://www.vupen.com/english/advisories/2009/3101 来源: BID 名称: 36892 链接:http://www.securityfocus.com/bid/36892 来源: eduforge.org 链接:http://eduforge.org/frs/shownotes.php?release_id=546 来源: OSVDB 名称: 59583 链接:http://www.osvdb.org/59583 来源: DEBIAN 名称: DSA-1924 链接:http://www.debian.org/security/2009/dsa-1924 来源: SECUNIA 名称: 37218 链接:http://secunia.com/advisories/37218 来源: SECUNIA 名称: 37217 链接:http://secunia.com/advisories/37217 来源: mahara.org 链接:http://mahara.org/interaction/forum/topic.php?id=1170 来源: eduforge.org 链接:http://eduforge.org/frs/shownotes.php?release_id=547

受影响实体

  • Mahara Mahara:1.1.0  
    <!--
    2000-1-1
    -->
  • Mahara Mahara:1.1.0:Alpha1  
    <!--
    2000-1-1
    -->
  • Mahara Mahara:1.1.0:Alpha2  
    <!--
    2000-1-1
    -->
  • Mahara Mahara:1.1.0:Alpha3  
    <!--
    2000-1-1
    -->
  • Mahara Mahara:1.1.0:Beta1  
    <!--
    2000-1-1
    -->

补丁

    暂无