Alkacon OpenCms 多个跨站脚本漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1167086 漏洞类型 跨站脚本
发布时间 2013-07-17 更新时间 2013-07-17
CVE编号 CVE-2013-4600 CNNVD-ID CNNVD-201307-269
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201307-269
|漏洞详情
AlkaconSoftwareOpenCms是德国AlkaconSoftware公司的一套开源的基于Java和XML的内容管理系统(CMS)。该系统支持模板引擎、所见即所得编辑器等。AlkaconOpenCms8.5.1及之前的版本中存在多个跨站脚本漏洞,这些漏洞源于程序没有充分过滤用户提交的数据。远程攻击者可通过向system/workplace/views/admin/admin-main.jsp脚本传送‘title’参数,或向system/login/index.html网址添加‘requestedResource’参数,利用这些漏洞注入任意Web脚本或HTML。
|参考资料

来源:www.htbridge.com
链接:https://www.htbridge.com/advisory/HTB23160
来源:github.com
链接:https://github.com/alkacon/opencms-core/issues/173
来源:www.opencms.org
链接:http://www.opencms.org/en/news/130710-opencms-v852-releasenotes.html
来源:BUGTRAQ
名称:20130717XSSVulnerabilitiesinOpenCms
链接:http://archives.neohapsis.com/archives/bugtraq/2013-07/0113.html
来源:BID
名称:61107
链接:http://www.securityfocus.com/bid/61107