发布日期:2012-06-19
更新日期:2012-06-20受影响系统:
Bricolage Bricolage 2.x
描述:
--------------------------------------------------------------------------------
Bricolage是一个Web发布系统。Bricolage 2.0.0在CMS管理面板的实现上存在多个XSS和SQL注入漏洞,可被恶意用户利用执行XSS攻击。成功利用需要 "Publishing Admins"组权限。1)通过"source_name"和"description"参数传递到admin/profile/source/的输入, "name"和"description"参数传递到admin/profile/output_channel/和admin/profile/element_type/的参数没有正确过滤即返回给用户,可被利用执行任意HTML和脚本代码。2)通过"name"和"description"参数传递到admin/profile/output_channel/的输入,"source_name"和"description" 参数传递到admin/profile/source/的输入, "name"参数传递到admin/profile/element_type/的输入没有正确过滤即返回给用户,可被利用执行任意HTML和脚本代码。<*来源:r007k17-w a.k.a Raghavendra Karthik.D (n4gb07@gmail.com)
链接:http://secunia.com/advisories/49581/
*>建议:
--------------------------------------------------------------------------------
厂商补丁:Bricolage
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://bricolagecms.org/SmallPICT不明细节跨站脚本执行漏洞IBM Lotus Notes “notes” URI处理器漏洞相关资讯 Bricolage Bricolage漏洞 脚本插入漏洞
- Raidsonic ICY BOX NAS-4220-B / (02/26/2013 09:01:26)
- ServersCheck Monitoring Software (10/16/2012 06:34:40)
- WinWebMail Server HTML Mail脚本 (08/13/2012 07:05:24)
| - ManageEngine ServiceDesk Plus “ (11/20/2012 18:55:35)
- RoundCube Webmail Larry皮肤邮件 (08/21/2012 06:40:36)
- HP AssetManager多个脚本插入漏洞 (07/16/2012 21:17:11)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
-
|
易网时代-编程资源站