发布日期:2014-03-10
更新日期:2014-03-14受影响系统:
Zikula Zikula Application Framework 1.3.6 build 28
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2014-2293Zikula Application Framework是开源的应用框架。Zikula Application Framework 1.3.6 build 28版本在实现上存在安全漏洞,可被恶意利用篡改某些数据或控制受影响系统。1、当 "module" 设置为 "users", "func" 设置为 "register", "csrftoken" 设置为有效值, "registration_info" 设置为有效值时,没有正确过滤index.php的"authentication_method_ser"及"authentication_info_ser" POST参数值,即将其用于调用 "unserialize()" 函数。成功利用该漏洞需要启用用户注册。2、没有正确过滤index.php内的"zikulaMobileTheme" cookie参数值,即将其用于调用 /lib/util/SecurityUtil.php 脚本内的 "unserialize()" 函数。<*来源:Egidio Romano
链接:http://secunia.com/advisories/56274/
*>建议:
--------------------------------------------------------------------------------
厂商补丁:Zikula
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://zikula.org/
Zikula:
http://community.zikula.org/index.php?module=News&func=display&sid=3138Apple iOS及TV多个安全漏洞WebKit多个内存破坏漏洞相关资讯 Zikula Application Framework 本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
|
易网时代-编程资源站