TikiWiki存在输入验证文件跨站脚本漏洞
发布日期:2007-08-24
更新日期:2007-08-28
受影响系统:
TikiWiki Project TikiWiki 1.9.7
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 25433
TikiWiki是一款网站内容管理系统,基于PHP+ADOdb+Smarty等技术构建。
TikiWiki在处理用户请求数据时存在输入验证漏洞,远程攻击者可能利用此漏洞在用户浏览器中执行恶意代码。
如果在TikiWiki中将remind设置成为send me my password的话,tiki-remind_password.php文件就会无法正确地验证对username参数的输入。远程攻击者可以通过向有漏洞的站点提交恶意请求执行跨站脚本攻击,导致在用户浏览器会话中执行任意HTML和脚本代码。
<*来源:Josh Morin (morin.josh@gmail.com)
链接:http://marc.info/?l=bugtraq&m=118797957209859&w=2
http://secunia.com/advisories/26618/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
TikiWiki Project
----------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://tikiwiki.org/tiki-index.ph()
最新相关文章发表评论- VMware虚拟磁盘加载服务Reconfig.DLL漏洞
- 磁碟机变种感染exe文件下载病毒
- TippingPoint新方法提升主动入侵防御系统
- 十面埋伏 三大浏览器有致命缺陷
- 病毒 Virus.Win32.Autorun修改系统时间
- 手机后台发幽灵信息 小媒体木马病毒现身
- 微软PowerPoint又现严重安全漏洞
- 手动更新 微软十月补丁DVD光盘
- “萤火虫变种K”伪装成微软Office办公软件
- 蠕虫爆发 Skype被迫关闭视频功能
- 连接恶意站点下载运行病毒的木马
- “关机能手”自动关闭电脑发起ARP攻击
- 小心网络交易 163邮箱成网银大盗后台
- Power Board 用户配置文件输入验证漏洞
- 病毒与IE形影不离 自我删除更加隐蔽