漏洞起因
输入验证错误
影响系统
Movable Type Movable Type Pro 4.25
Movable Type Movable Type Pro 4.24
Movable Type Movable Type Open Source 4.25
Movable Type Movable Type Open Source 4.24
Movable Type Movable Type Enterprise 4.25
Movable Type Movable Type Enterprise 4.24
Movable Type Movable Type Community Solution 4.25
Movable Type Movable Type Community Solution 4.24
Movable Type Movable Type 4.25
Movable Type Movable Type 4.24
不受影响系统
Movable Type Movable Type Pro 4.26
Movable Type Movable Type Open Source 4.26
Movable Type Movable Type Enterprise 4.26
Movable Type Movable Type Community Solution 4.26
Movable Type Movable Type 4.26
危害
远程攻击者可以利用漏洞获得敏感信息或绕过安全限制。
攻击所需条件
攻击者必须访问Movable Type。
漏洞信息
Movable Type是一款基于WEB的网络博客系统。
Movable Type存在多个安全问题,远程攻击者可以利用漏洞获得敏感信息或绕过安全限制。
-mt-wizard.cgi存在一个未明输入验证问题,攻击者可以利用漏洞以用户浏览器上下文执行任意HTML和脚本代码。
-mt-wizard.cgi存在未明错误可绕过部分安全限制。
测试方法
厂商解决方案
联系供应商升级到最新程序:
http://www.movabletype.org/
漏洞提供者
Maksymilian Arciemowicz
漏洞消息链接
http://www.movabletype.org/documentation/appendices/release-notes/426.html
http://jvn.jp/jp/JVN86472161/index.html
http://jvn.jp/jp/JVN08369659/index.html
0 条评论。