SilverStripe跨站脚本漏洞

日期: 2012/09/19 | 标签:SilverStripe | 游览：315

漏洞起因
跨站脚本错误
危险等级
低

影响系统
SilverStripe 2.3.13之前版本
SilverStripe 2.4.7之前版本

不受影响系统

危害
远程攻击者可以利用漏洞可获得敏感信息或劫持用户会话。

攻击所需条件
攻击者必须访问SilverStripe。

漏洞信息
SilverStripe是一款内容管理系统。
通过特制字符串传递给AbsoluteLinks，BigSummary, ContextSummary, EscapeXML, FirstParagraph, FirstSentence, Initial, LimitCharacters, LimitSentences, LimitWordCount, LimitWordCountXML, Lower, LowerCase, NoHTML, Summary, Upper, UpperCase或者模版中URL方法的输入缺少过滤，可导致跨站脚本攻击，可获得敏感信息或劫持用户会话。

测试方法

厂商解决方案
SilverStripe 2.3.13和2.4.7已经修复此漏洞，建议用户下载使用：
http://www.silverstripe.org

漏洞提供者
vendor

← GNOME Shell浏览器插件任意代码执行漏洞

Microsoft Windows Phone 7 SSL证书’Common Name’校验安全绕过漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

SilverStripe跨站脚本漏洞

评论关闭。