CMS Made Simple 跨站请求伪造漏洞

漏洞信息详情

CMS Made Simple 跨站请求伪造漏洞

• CNNVD编号：CNNVD-201211-153
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-5450
  
• 漏洞类型：
  
  
  跨站请求伪造
  
• 发布时间：
  
  2012-11-09
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-12-07
  
• 厂        商：
  
  cmsmadesimple
• 漏洞来源：

CMS Made Simple（CMSMS）是CMSMS团队开发的一套开源的内容管理系统(CMS)。该系统支持基于角色的权限管理系统、基于向导的安装与更新机制、智能缓存机制等。

CMS Made Simple (CMSMS) 1.11.2和较早的版本中的lib/filemanager/imagemanager/images.php脚本中存在跨站请求伪造漏洞。远程攻击者利用该漏洞通过deld参数，劫持发送删除任意文件请求的管理员身份验证信息。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.cmsmadesimple.org/

来源: www.htbridge.com

链接:https://www.htbridge.com/advisory/HTB23121

来源: XF

名称: cmsmadesimple-images-csrf(79881)

链接:http://xforce.iss.net/xforce/xfdb/79881

来源: viewsvn.cmsmadesimple.org

链接:http://viewsvn.cmsmadesimple.org/diff.php?repname=cmsmadesimple&path=%2Ftrunk%2Flib%2Ffilemanager%2FImageManager%2FClasses%2FImageManager.php&rev=8400&peg=8498

来源: SECUNIA

名称: 51185

链接:http://secunia.com/advisories/51185

来源: packetstormsecurity.org

链接:http://packetstormsecurity.org/files/117951/CMS-Made-Simple-1.11.2-Cross-Site-Request-Forgery.html

来源: forum.cmsmadesimple.org

链接:http://forum.cmsmadesimple.org/viewtopic.php?f=1&t=63545

来源: BUGTRAQ

名称: 20121107 Cross-Site Request Forgery (CSRF) in CMS Made Simple

链接:http://archives.neohapsis.com/archives/bugtraq/2012-11/0035.html