Moodle etitle参数HTML注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1186173 漏洞类型 跨站脚本
发布时间 2008-07-22 更新时间 2008-12-30
CVE编号 CVE-2008-3326 CNNVD-ID CNNVD-200807-414
漏洞平台 N/A CVSS评分 2.6
|漏洞来源
https://www.securityfocus.com/bid/30348
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200807-414
|漏洞详情
Moodle是澳大利亚马丁-多基马(MartinDougiamas)博士开发的一套免费、开源的电子学习软件平台,也称课程管理系统、学习管理系统或虚拟学习环境。Moodle的blog/edit.php文件中没有正确地过滤对etitle参数的输入便进行了存储,如果远程攻击者提交了创建带有恶意标题的blog项请求的话,就会在用户浏览器中注入并执行任意HTML和脚本代码。
|受影响的产品
S.u.S.E. openSUSE 11.0 S.u.S.E. openSUSE 10.3 S.u.S.E. openSUSE 10.2 Moodle moodle 1.7.5 Moodle moodle 1.7.4 Moodle moodle 1.7.3 Moodle moodle 1.7.2
|参考资料

来源:XF
名称:moodle-edit-xss(43961)
链接:http://xforce.iss.net/xforce/xfdb/43961
来源:BID
名称:30348
链接:http://www.securityfocus.com/bid/30348
来源:BUGTRAQ
名称:20080722PR08-13:PersistentCross-siteScripting(XSS)onMoodleviablogentrytitle
链接:http://www.securityfocus.com/archive/1/archive/1/494656/100/0/threaded
来源:MISC
链接:http://www.procheckup.com/Vulnerability_PR08-13.php
来源:MILW0RM
名称:6653
链接:http://www.milw0rm.com/exploits/6653
来源:DEBIAN
名称:DSA-1691
链接:http://www.debian.org/security/2008/dsa-1691
来源:SECUNIA
名称:31339
链接:http://secunia.com/advisories/31339
来源:SECUNIA
名称:31196
链接:http://secunia.com/advisories/31196
来源:moodle.org
链接:http://moodle.org/mod/forum/discuss.php?d=101401
来源:SUSE
名称:SUSE-SR:2008:016
链接:http://lists.opensuse.org/opensuse-security-announce/2008-08/msg00001.html