正文

TaskFreak! include/html/header.php多个跨站脚本攻击漏洞

admin
admin V管理员 /0 评论 /16 阅读
0110
此篇文章发布距今已超过1214天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

TaskFreak! include/html/header.php多个跨站脚本攻击漏洞

  • CNNVD编号:CNNVD-201102-323
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2011-1062
  • 漏洞类型: 跨站脚本
  • 发布时间: 2011-02-23
  • 威胁类型: 远程
  • 更新时间: 2011-02-23
  • 厂        商: taskfreak
  • 漏洞来源:

漏洞简介

TaskFreak! 是一个开放源代码, ajax效果界面,用PHP编写的任务管理/待办事项列表工具。

TaskFreak! 0.6.4版本中的include/html/header.php中存在多个跨站脚本攻击漏洞。远程攻击者可以借助对index.php的save操作中的(1)sContext,(2)sort,(3)dir,(4)show参数;向print_list.php传递的(5)dir和(6)show参数;以及向rss.php传递的(7)HTTP referer头注入任意web脚本或者HTML。

漏洞公告

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.taskfreak.com

参考网址

来源: www.zeroscience.mk 链接:http://www.zeroscience.mk/en/vulnerabilities/ZSL-2011-4990.php 来源: EXPLOIT-DB 名称: 16158 链接:http://www.exploit-db.com/exploits/16158 来源: SECUNIA 名称: 43318 链接:http://secunia.com/advisories/43318 来源: OSVDB 名称: 70878 链接:http://osvdb.org/70878 来源: OSVDB 名称: 70877 链接:http://osvdb.org/70877

受影响实体

  • Taskfreak Taskfreak%21:0.6.4  
    <!--
    2000-1-1
    -->

补丁

    暂无