eGroupware跨站脚本和远程命令执行漏洞

受影响系统：

EGroupware.org eGroupWare 1.6.002

不受影响系统：

EGroupware.org eGroupWare 1.6.003

描述：

eGroupWare是一套PHP语言开发的团队协作软件，采用GPL的开放源码授权。

eGroupWare没有正确地过滤提交给login.php页面的lang参数便返回给了用户，远程攻击者可以通过提交恶意参数请求执行跨站脚本攻击；此外由于没有正确地过滤提交给phpgwapi/js/fckeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php的spellchecker_lang参数，远程用户可以注入并执行任意shell命令。

<*来源：Nahuel Grisolia

链接：http://secunia.com/advisories/38859/
*>

建议：

厂商补丁：

EGroupware.org
————–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.egroupware.org/news?category_id=95&item=93

← IBM Lotus Notes远程栈溢出漏洞

IBM ENOVIA SmarTeam LoginPage.aspx页面跨站脚本漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

eGroupware跨站脚本和远程命令执行漏洞

0 条评论。

发表评论