受影响系统:
Kevin Papst BigACE < 2.7.2
不受影响系统:
Kevin Papst BigACE 2.7.2
描述:
BIGACE是免费的Web内容管理系统,可帮助创建和管理网站。
BIGACE的以下模块存在跨站脚本漏洞:
– Create category
– Create Style sheet
– Create Template
– Edit template
– Create Group
– New permission
– Create new configuration
– Comunties
由于没有检查过滤输入变量,攻击者可以在路径链接中注入代码段。当用户登录并点击链接后,就会导致执行所注入的代码。
此外以下模块还存在跨站请求伪造漏洞:
– Delete category
– Delete style sheet
– Delete template
– Delete layout
– Delete group
– Active Permission
– Active Modules
由于没有认证任务进程,攻击者可以代表合法用户执行恶意操作。
<*来源:Truong Thao Nguyen
链接:http://marc.info/?l=bugtraq&m=127479809601078&w=2
http://www.bigace.de/BIGACE-2.7.2.html
*>
建议:
厂商补丁:
Kevin Papst
———–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://sourceforge.net/projects/bigace/files/1_BIGACE%20CMS/bigace_2.7.2.zip/download
0 条评论。