Movable Type Rich Text Editor脚本注入漏洞

2014-01-07T00:00:00
ID SSV:61300
Type seebug
Reporter Root
Modified 2014-01-07T00:00:00

Description

Movable Type是一款基于WEB的网络博客系统。

由于通过网页键入的输入在富文本编辑器显示之前缺少过滤。在恶意数据被查看时,攻击者可以利用漏洞在受影响站点上下文的用户浏览器会话中执行任意HTML和脚本代码。

下列产品和版本存在漏洞: Movable Type Pro version 6.0 Movable Type Pro versions 5.2.x, 5.1x, and 5.0x Movable Type Open Source (MTOS) versions 5.2.x, 5.1x, and 5.0x Movable Type Advanced / Movable Type Enterprise versions 5.2.x, 5.1x, and 5.0x 0 Movable Type 5.x Movable Type 6.x 厂商补丁:

Movable Type

Movable Type 6.0.1, 5.2.9, 或者5.161版本以修复此漏洞,建议用户下载使用:

http://movabletype.org/