Bricolage多个XSS脚本执行和脚本插入漏洞

发布日期:2012-06-19
更新日期:2012-06-20

受影响系统:
Bricolage Bricolage 2.x
描述:
--------------------------------------------------------------------------------
Bricolage是一个Web发布系统。

Bricolage 2.0.0在CMS管理面板的实现上存在多个XSS和SQL注入漏洞,可被恶意用户利用执行XSS攻击。成功利用需要 "Publishing Admins"组权限。

1)通过"source_name"和"description"参数传递到admin/profile/source/的输入, "name"和"description"参数传递到admin/profile/output_channel/和admin/profile/element_type/的参数没有正确过滤即返回给用户,可被利用执行任意HTML和脚本代码。

2)通过"name"和"description"参数传递到admin/profile/output_channel/的输入,"source_name"和"description" 参数传递到admin/profile/source/的输入, "name"参数传递到admin/profile/element_type/的输入没有正确过滤即返回给用户,可被利用执行任意HTML和脚本代码。

<*来源:r007k17-w a.k.a Raghavendra Karthik.D (n4gb07@gmail.com)
 
  链接:
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Bricolage
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwwgdp.html