发布日期:2012-04-05
更新日期:2012-04-06
受影响系统:
Sencha SNS Sencha SNS 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 52900
CVE ID: CVE-2012-1237,CVE-2012-1238
Sencha SNS是社会协作工具。
Sencha SNS在实现上存在两个漏洞,可被恶意用户利用执行跨站请求伪造和会话固定攻击。
1)应用可允许用户通过HTTP请求执行某些操作,而不验证这些请求。
2) 处理会话时存在错误,可通过诱使用户登录到特制的链接劫持另一个用户的会话。
建议:
--------------------------------------------------------------------------------
厂商补丁:
Sencha SNS
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: