Bugzilla ‘xmlrpc.cgi’ 跨站请求伪造漏洞

漏洞信息详情

Bugzilla ‘xmlrpc.cgi’ 跨站请求伪造漏洞

• CNNVD编号：CNNVD-201202-459
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-0453
  
• 漏洞类型：
  
  
  跨站请求伪造
  
• 发布时间：
  
  2012-02-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-02-27
  
• 厂        商：
  
  mozilla
• 漏洞来源：
  Mario Gomes

Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统，它可管理软件开发中缺陷的提交（new）、修复（resolve）、关闭（close）等整个生命周期。

Bugzilla 4.0.2至4.0.4版本和4.1.1至4.2rc2版本中的xmlrpc.cgi中存在跨站请求伪造漏洞。当mod_perl启用时，远程攻击者可利用该漏洞借助XML-RPC API劫持修改产品安装的请求的任意用户认证。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://bugzilla.mozilla.org/show_bug.cgi?id=725663

来源: bugzilla.mozilla.org

链接:https://bugzilla.mozilla.org/show_bug.cgi?id=725663

来源: www.bugzilla.org

链接:http://www.bugzilla.org/security/4.0.4/

来源: BID

名称: 52135

链接:http://www.securityfocus.com/bid/52135
来源：NSFOCUS
名称：18814
链接：http://www.nsfocus.net/vulndb/18814