Gallery 多个跨站脚本漏洞

漏洞信息详情

Gallery 多个跨站脚本漏洞

• CNNVD编号：CNNVD-201306-271
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2013-2138
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2013-05-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-10-11
  
• 厂        商：
  
  menalto
• 漏洞来源：
  Mala and Dhaval Ch…

Gallery是美国软件开发者Bharat Mediratta所研发的一款基于Web的开源相册管理器。该管理器支持对相片自动生成缩略图、改变大小、排序等。

Gallery 3.0.8之前的3版本中的uploadify和flowplayer SWF文件中存在安全漏洞，该漏洞源于程序没有正确删除查询参数和段。远程攻击者可利用该漏洞实施重放攻击。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://galleryproject.org/gallery_3_0_8

来源: github.com

链接:https://github.com/gallery/gallery3/commit/80bb0f2222dd99ed2ce59e804b833bab63cc376a

来源: github.com

链接:https://github.com/gallery/gallery3/commit/3e5bba2cd4febe8331c0158c11ea418f21c72efa

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=970596

来源: MLIST

名称: [oss-security] 20130604 Re: CVE Request — Gallery < 3.0.8 – Improper stripping of URL fragments in uploadify and flowplayer SWF files might lead to replay attacks

链接:http://www.openwall.com/lists/oss-security/2013/06/04/9

来源: sourceforge.net

链接:http://sourceforge.net/apps/trac/gallery/ticket/2070

来源: sourceforge.net

链接:http://sourceforge.net/apps/trac/gallery/ticket/2068

来源: galleryproject.org

链接:http://galleryproject.org/gallery_3_0_8

来源: BID

名称: 60313

链接:http://www.securityfocus.com/bid/60313