日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Vanilla論壇程序中的多個HTML注入及跨站腳本漏洞

云知道

受影響系統(tǒng):
Lussumo Vanilla <= 1.1.4
不受影響系統(tǒng):
Lussumo Vanilla 1.1.5 RC1
描述:
Vanilla(香草)是一個開源的多語言、完全可擴展的論壇程序 。
Vanilla中存在多個輸入驗證錯誤,允許惡意用戶執(zhí)行腳本注入、跨站腳本和跨站請求偽造攻擊 。
【Vanilla論壇程序中的多個HTML注入及跨站腳本漏洞】1) 當(dāng)PostBackAction設(shè)置為Apply的時候,沒有正確地過濾people.php文件中的NewPassword參數(shù)輸入便返回給了用戶,這可能導(dǎo)致在用戶的瀏覽器會話中執(zhí)行任意HTML和腳本代碼 。
2) 沒有正確地過濾account.php中的Account picture、Icon和Value表單字段便執(zhí)行了存儲,當(dāng)查看惡意數(shù)據(jù)時就可能注入任意HTML屬性并在用戶的瀏覽器會話中執(zhí)行 。成功利用這個漏洞要求攻擊者擁有有效的用戶憑據(jù)且受害用戶擁有有效的管理員憑據(jù) 。
3) 沒有對用戶提交的HTTP請求執(zhí)行有效性檢查便允許執(zhí)行某些操作,這可能在ajax/UpdateCheck.php和注銷功能中導(dǎo)致安全漏洞 。
廠商補?。?br />
目前廠商已經(jīng)發(fā)布了升級補丁以修復(fù)這個安全問題,請到廠商的主頁下載:
http://lussumo.com/community/discussion/8559/vanilla-115-release-candidate-1/

    推薦閱讀