Sixapart Movable Type跨站脚本攻击漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1184171 漏洞类型 跨站脚本
发布时间 2008-12-03 更新时间 2009-01-06
CVE编号 CVE-2008-5845 CNNVD-ID CNNVD-200901-033
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
https://www.securityfocus.com/bid/32604
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200901-033
|漏洞详情
MovableType,简称MT,是由位于美国加州的SixApart公司推出的网志(blog)发布系统。SixApartMovableType(MT)4.23之前的版本中存在多个跨站脚本攻击漏洞。远程攻击者可以借助剖面查看模板中的(1)MTEntryAuthorUsername(2)MTAuthorDisplayName(3)MTEntryAuthorDisplayName(4)MTCommenterName字段(5)CMSapp中的列表屏幕(6)CMSapp中的编辑屏幕(7)与HTML净化库相关的一个TrackBack标题(8)出版的CommunityBlog模板上的一个用户存档文件名(又称存档文件标题),来注入任意的web脚本或HTML。
|受影响的产品
Movable Type Movable Type Open Source 4 Movable Type Movable Type Enterprise 4 Movable Type Movable Type Enterprise 1.5 Movable Type Movable Type Community Solution 4 Movable Type Movable
|参考资料

来源:www.movabletype.org
链接:http://www.movabletype.org/mt_423_change_log.html