XWiki Enterprise HTML注入漏洞

漏洞信息详情

XWiki Enterprise HTML注入漏洞

• CNNVD编号：CNNVD-201202-107
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-1019
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  1900-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-02-08
  
• 厂        商：
  
  xwiki
• 漏洞来源：
  Sony

XWiki Enterprise是一个专业的WIKI程序，含有诸如blog，强劲的权限管理，LDAP认证，PDF导出，等一些企业上运用的功能。

XWiki Enterprise中存在多个HTML注入漏洞，这些漏洞源于对用户提供的数据未进行充分过滤。攻击者可利用此漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码，盗取基于cookie的认证证书进而发起其他攻击。XWiki Enterprise 3.4版本存在此漏洞，其它版本也可能受到影响。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://enterprise.xwiki.org/xwiki/bin/view/Main/

来源: BID

名称: 51867

链接:http://www.securityfocus.com/bid/51867

来源: st2tea.blogspot.com

链接:http://st2tea.blogspot.com/2012/02/xwiki-cross-site-scripting.html

来源: SECUNIA

名称: 47885

链接:http://secunia.com/advisories/47885

来源: packetstormsecurity.org

链接:http://packetstormsecurity.org/files/109447/XWiki-Enterprise-3.4-Cross-Site-Scripting.html