漏洞信息详情
Michael Hudson-Doyle Loggerhead templatefunctions.py跨站脚本攻击漏洞
漏洞简介
Loggerhead 1.18.1之前版本的templatefunctions.py中存在跨站脚本攻击漏洞。与文件名有关的输入还没有在loggerhead/templatefunctions.py中经过正确过滤,就被用于显示文件名称。当浏览恶意数据时,远程认证用户可以借助文件名,在受影响站点的用户浏览器会话中注入任意web脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://launchpad.net/loggerhead/1.18/1.18.1
参考网址
来源: launchpad.net
链接:https://launchpad.net/loggerhead/1.18/1.18.1
来源: bugs.launchpad.net
链接:https://bugs.launchpad.net/loggerhead/+bug/740142
来源: XF
名称: loggerhead-filename-xss(66305)
链接:http://xforce.iss.net/xforce/xfdb/66305
来源: BID
名称: 47032
链接:http://www.securityfocus.com/bid/47032
来源: OSVDB
名称: 71279
链接:http://www.osvdb.org/71279
来源: SECUNIA
名称: 43822
链接:http://secunia.com/advisories/43822
受影响实体
- Michael_hudson-Doyle Loggerhead:1.17<!--2000-1-1-->
- Michael_hudson-Doyle Loggerhead:1.6<!--2000-1-1-->
- Michael_hudson-Doyle Loggerhead:1.6.1<!--2000-1-1-->
- Michael_hudson-Doyle Loggerhead:1.10<!--2000-1-1-->
- Michael_hudson-Doyle Loggerhead:1.18<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...