Mahara用户配置文件跨站脚本漏洞

2009-04-25T00:00:00
ID SSV:5107
Type seebug
Reporter Root
Modified 2009-04-25T00:00:00

Description

BUGTRAQ ID: 34677 CVE(CAN) ID: CVE-2009-0664

Mahara是一个开源的电子文件夹,网络日志,履历表生成器和社会联网系统。

Mahara没有正确地过滤对introduction用户配置文件字段和用户视图某些文本块所传送的输入参数便返回给了用户,远程攻击者可以通过向服务器提交恶意请求执行跨站脚本攻击,导致在用户浏览器会话中注入并执行任意HTML和脚本代码。

Eduforge.org Mahara 1.1.x Eduforge.org Mahara 1.0.x Debian


Debian已经为此发布了一个安全公告(DSA-1778-1)以及相应补丁: DSA-1778-1:mahara -- insufficient input sanitization 链接:<a href=http://www.debian.org/security/2009/dsa-1778 target=_blank rel=external nofollow>http://www.debian.org/security/2009/dsa-1778</a>