Fastspot BigTree CMS ‘module’参数跨站脚本漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1167062 漏洞类型 跨站脚本
发布时间 2013-07-17 更新时间 2013-07-17
CVE编号 CVE-2013-4880 CNNVD-ID CNNVD-201308-159
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
https://www.securityfocus.com/bid/61701
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201308-159
|漏洞详情
FastspotBigTreeCMS是美国Fastspot公司的一套基于PHP和MySQL的开源内容管理系统(CMS)。BigTreeCMS4.0RC2及之前的版本中的core/admin/modules/developer/modules/views/add.php脚本中存在跨站脚本漏洞,该漏洞源于程序没有正确过滤用户提交的输入。远程攻击者可通过在指定的URL中使用‘module’参数,利用该漏洞注入任意Web脚本或HTML。
|受影响的产品
Bigtreecms Bigtree Cms 4.0 RC2
|参考资料

来源:github.com
链接:https://github.com/bigtreecms/BigTree-CMS/commit/8a59c2e13f8e151b6a9e98f73e641e1ec8d928df
来源:www.htbridge.com
链接:https://www.htbridge.com/advisory/HTB23165
来源:XF
名称:bigtreecms-cve20134880-xss(86287)
链接:http://xforce.iss.net/xforce/xfdb/86287
来源:OSVDB
名称:96008
链接:http://osvdb.org/96008
来源:BUGTRAQ
名称:20130807MultipleVulnerabilitiesinBigTreeCMS
链接:http://archives.neohapsis.com/archives/bugtraq/2013-08/0039.html
来源:BID
名称:61701
链接:http://www.securityfocus.com/bid/61701