Mahara敏感信息泄露漏洞

漏洞信息详情

Mahara敏感信息泄露漏洞

• CNNVD编号：CNNVD-201105-158
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-1404
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2011-05-16
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-05-16
  
• 厂        商：
  
  mahara
• 漏洞来源：

Mahara 1.3.6之前版本没有正确限制响应AJAX调用中的数据。远程认证用户可以借助与(1)blocktype/myfriends/myfriends.json.php，(2)json/usersearch.php，(3)group/membersearchresults.json.php或(4)json/friendsearch.php有关的请求，获取敏感信息。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://launchpad.net/mahara/+milestone/1.3.6

来源:launchpad.net

链接:https://launchpad.net/mahara/+milestone/1.3.6

来源: launchpad.net

链接:https://launchpad.net/mahara/+bug/772179

来源: launchpad.net

链接:https://launchpad.net/mahara/+bug/772174

来源: launchpad.net

链接:https://launchpad.net/mahara/+bug/772160

来源: launchpad.net

链接:https://launchpad.net/mahara/+bug/772140

来源: XF

名称: mahara-viewtasksjson-sec-bypass(67395)

链接:http://xforce.iss.net/xforce/xfdb/67395

来源: BID

名称: 47798

链接:http://www.securityfocus.com/bid/47798

来源: SECUNIA

名称: 44433

链接:http://secunia.com/advisories/44433