Event Calendar多个安全漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201083 漏洞类型 输入验证
发布时间 2004-11-17 更新时间 2006-09-05
CVE编号 CVE-2004-1529 CNNVD-ID CNNVD-200412-235
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-235
|漏洞详情
EventCalendar是一款phpnuke的事件日历模块。EventCalendar没有充分过滤用户提交的URL数据,远程攻击者可以利用这个漏洞进行SQL和跨站脚本攻击,可获得敏感信息。问题一是"config.php"脚本存在路径泄露问题:直接提交"config.php"脚本可获得包含路径信息的错误消息,另外对'index.php'和'submit.php'的请求也存在此漏洞。问题二是存在跨站脚本问题:由于对用户提交的HTML恶意代码缺少充分过滤,部分参数可导致输入恶意代码,当其他用户查看时可导致敏感信息泄露。问题三是对'$eid'和'$cid'参数缺少充分过滤,提交包含恶意SQL命令的数据作为此参数数据,可导致更改数据库或者获得敏感信息。
|参考资料

来源:XF
名称:event-calendar-comment-xss(18107)
链接:http://xforce.iss.net/xforce/xfdb/18107
来源:XF
名称:event-calendar-xss(18106)
链接:http://xforce.iss.net/xforce/xfdb/18106
来源:www.waraxe.us
链接:http://www.waraxe.us/index.php?modname=sa&id=38
来源:BID
名称:11693
链接:http://www.securityfocus.com/bid/11693
来源:SECUNIA
名称:13213
链接:http://secunia.com/advisories/13213
来源:BUGTRAQ
名称:20041116[waraxe-2004-SA#038-MultiplevulnerabilitiesinEventCalendarmoduleforPhpNuke]
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110064626111756&w=2
来源:NSFOCUS
名称:7130
链接:http://www.nsfocus.net/vulndb/7130