Open Classifieds跨站脚本漏洞

2014-03-13T00:00:00
ID SSV:61791
Type seebug
Reporter Root
Modified 2014-03-13T00:00:00

Description

CVE ID:CVE-2014-2024

Open Classifieds可以用来创建分类和目录。

由于没有充分过滤通过URI传递到"/shared-apartments-rooms/" URL的用户提供的数据,远程攻击者可以利用漏洞欺骗登录用户访问恶意链接,并在受影响网站上下文的浏览器中执行任意HTML和脚本代码。 0 Open Classifieds 2-2.1.2 厂商补丁:

Open Classifieds

Open Classifieds 2-2.1.3版本以修复此漏洞,建议用户下载使用:

https://github.com/open-classifieds/openclassifieds2/issues/556 https://github.com/open-classifieds/openclassifieds2/commit/45ee8fb601a91b8a4238229580a32a4fd8d96ef9

                                        
                                            
                                                The exploitation example below uses the JavaScript "alert()" function to display "immuniweb" word:

http://[host]/shared-apartments-rooms/</title><script>alert(%22immuniweb%22)</script>