受影响系统:
EGroupware.org eGroupWare 1.6.002
不受影响系统:
EGroupware.org eGroupWare 1.6.003
描述:
eGroupWare是一套PHP语言开发的团队协作软件,采用GPL的开放源码授权。
eGroupWare没有正确地过滤提交给login.php页面的lang参数便返回给了用户,远程攻击者可以通过提交恶意参数请求执行跨站脚本攻击;此外由于没有正确地过滤提交给phpgwapi/js/fckeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php的spellchecker_lang参数,远程用户可以注入并执行任意shell命令。
<*来源:Nahuel Grisolia
链接:http://secunia.com/advisories/38859/
*>
建议:
厂商补丁:
EGroupware.org
————–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。