Foswiki 会话劫持和跨站请求伪造漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1182871 漏洞类型 跨站请求伪造
发布时间 2009-04-30 更新时间 2009-04-30
CVE编号 CVE-2009-1434 CNNVD-ID CNNVD-200904-565
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
https://www.securityfocus.com/bid/79532
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200904-565
|漏洞详情
Foswiki1.0.5之前版本存在跨站请求伪造漏洞。远程攻击者可以劫持任意用户的身份认证,以便发送用于修改页、更改许可或更改群成员的请求。比如利用一个IMG元素的SRC属性中的用于保存或查看脚本的一个URL。
|参考资料

来源:MLIST
名称:[foswiki-announce]20090427SecurityAlertCVE-2009-1434:FoswikiPageViewCross-SiteRequestForgery(CSRF)
链接:http://sourceforge.net/mailarchive/forum.php?thread_name=49F61C4E.2040806%40lavrsen.dk&forum_name=foswiki-announce
来源:foswiki.org
链接:http://foswiki.org/Support/SecurityAlert-CVE-2009-1434
来源:launchpad.net
链接:https://launchpad.net/bugs/cve/2009-1434
来源:XF
名称:foswiki-unspecified-csrf(50256)
链接:http://xforce.iss.net/xforce/xfdb/50256
来源:SECUNIA
名称:34863
链接:http://secunia.com/advisories/34863
来源:OSVDB
名称:54148
链接:http://osvdb.org/54148