中文(Chinese) 英文(English) Tel: 4006-858-981           Msn: China@Safe.sh         QQ: 7387526       Server Hosting        加入收藏
主页 >> 安全风向标 >> 漏洞播报
安全风向标
分类
Mahara跨站脚本和跨站请求伪造漏洞
影响版本:
Mahara Mahara 1.3.3
Mahara Mahara 1.2.5
Mahara Mahara 1.2.4
Mahara Mahara 1.2.3
Mahara Mahara 1.3.2
Mahara Mahara 1.3.1
Mahara Mahara 1.3.0
Mahara Mahara 1.2.6
Mahara Mahara 1.2.5
Mahara Mahara 1.2.2
Mahara Mahara 1.2.1
Mahara Mahara 1.2.0

漏洞描述:
Bugtraq ID: 47033
CVE ID:CVE-2011-0439

Mahara是一款开源的电子文件夹,网络日志,履历表生成器和社会化网络系统。
Mahara存在多个输入验证错误,攻击者可以利用漏洞获得敏感信息或劫持目标用户会话。
-应用程序存在跨站请求伪造漏洞,攻击者可以构建恶意链接,诱使管理员访问,删除博客日志。
-通过Pieform选择框选项传递的输入在显示给用户之前缺少正确过滤,可被利用注入任意HTML和脚本代码,导致恶意数据查看时在目标用户浏览器上执行恶意代码。

<*参考
http://mahara.org/interaction/forum/topic.php?id=3206
http://mahara.org/interaction/forum/topic.php?id=3205
*>

Safe.sh安全建议:
厂商解决方案
Mahara 1.3.4和1.2.7已经修复此漏洞,建议用户下载使用:
http://mahara.org/interaction/forum/topic.php?id=3208
页面工具 打印 | 电子邮件 | 评价
关于我们 | | 沪ICP备12021423号-1 | 联系我们 友情链接 | 站点地图 | 隐私 | 法律 | Copyright © 2018 Safe.Sh