受影响系统:
ClanSphere ClanSphere 2010
描述:
ClanSphere是一个高级Web内容管理系统,主要用于搭建部落和电子竞技类网站。
ClanSphere CKEditor在实现上存在跨站脚本执行和文件上传漏洞,远程攻击者可利用此漏洞进行跨站脚本执行攻击并控制受影响系统。
1)发送到ClanSphere CKEditor组件mods/ckeditor/filemanager/connectors/php/upload.php的"CKEditorFuncNum"参数的输入在返回给用户之前没有正确过滤。可造成在受影响站点的用户浏览器会话中执行任意HTML和脚本代码。
2)ClanSphere CKEditor组件mods/ckeditor/filemanager/connectors/php/upload.php允许上传任意控制名的文件,可造成任意文件上传和执行任意PHP代码。
< *来源:AutoSec Tools
链接:http://www.autosectools.com/Advisories/ClanSphere.2010.3.-.CKEditor_Reflected.Cross-site.Scripting_144.html
*>
建议:
厂商补丁:
ClanSphere
———-
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.autosectools.com/
0 条评论。