发布日期:2012-10-18
更新日期:2012-10-21
受影响系统:
htbridge AContent 1.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2012-5167,CVE-2012-5169
AContent是支持导入、导出、制作IMS内容软件包的电子学习内容创造工具和库。
AContent 1.2及之前版本内存在多个漏洞,可被恶意用户利用执行跨站脚本执行和SQL注入攻击。
1) 通过"pathext", "popup", "framed", "file"参数传递到file_manager/preview_top.php的输入没有正确过滤即被返回给用户,可被利用在用户浏览器中执行任意HTML和脚本代码。
2) 通过"id"参数传递给user/user_password.php的输入,及"field"参数传递到course_category/index_inline_editor_submit.php的输入没有正确过滤即被用在SQL查询中,可被利用操作SQL查询。
<*来源:High-Tech Bridge
链接:
https://www.htbridge.com/advisory/HTB23117
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
htbridge
--------
htbridge已经为此发布了一个安全公告(HTB23117)以及相应补丁:
HTB23117:Multiple vulnerabilities in AContent
链接:https://www.htbridge.com/advisory/HTB23117