Liferay Enterprise Portal service/impl/UserLocalServiceImpl.java 跨站脚本漏洞

漏洞信息详情

Liferay Enterprise Portal service/impl/UserLocalServiceImpl.java 跨站脚本漏洞

• CNNVD编号：CNNVD-200802-042
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2008-0179
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2008-02-04
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2008-09-05
  
• 厂        商：
  
  liferay
• 漏洞来源：
  Tomasz Kuczynski i…

Liferay Portal 4.3.6的service/impl/UserLocalServiceImpl.java中的跨站脚本漏洞会允许远程攻击者通过用户代理 HTTP(在HTML格式中构建忘记密码电子邮件信息时使用)页眉来注入任意web脚本或HTML。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：
Liferay Enterprise Portal 4.3.6
Liferay liferay-portal-src-4.4.0.zip
HTTP://downloads.sourceforge.net/lportal/liferay-portal-src-4.4.0.zip?modtime=1201282487&big_mirror=1

来源: US-CERT
名称: VU#888209
链接:http://www.kb.cert.org/vuls/id/888209

来源: BID
名称: 27550
链接:http://www.securityfocus.com/bid/27550

来源: support.liferay.com
链接:http://support.liferay.com/browse/LEP-4737

来源: SECUNIA
名称: 28742
链接:http://secunia.com/advisories/28742