漏洞起因
输入验证错误
危险等级
中
影响系统
Apache Shindig PHP 2.5.0
不受影响系统
危害
远程攻击者可以利用漏洞可获取服务器文件信息。
CVSSv2:
攻击所需条件
攻击者必须访问Apache Shindig PHP版本。
漏洞信息
shindig是apache的一个开源项目,实现了google的opensocial容器开源项目。
Apache Shindig PHP版本中的Gadget渲染程序受XML外部实体注入攻击,允许Gadget坐着构建恶意XML数据,使服务器上的文件显示在gadget子帧中,导致敏感信息泄漏。
测试方法
]>
&passwd; hello
安全建议
厂商解决方案
Apache Shindig PHP 2.5.0-update1已经修改该漏洞,建议用户下载更新:
http://shindig.apache.org
漏洞提供者
Kousuke Ebihara
评论关闭。