Andy’s PHP Knowledgebase 跨站脚本漏洞

漏洞信息详情

Andy’s PHP Knowledgebase 跨站脚本漏洞

• CNNVD编号：CNNVD-201312-578
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-7277
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2013-12-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-01-09
  
• 厂        商：
  
  aphpkb
• 漏洞来源：
  Omar Kurt

Andy\’\’s PHP Knowledgebase（Aphpkb）是一套使用MySQL作为数据存储的知识库管理系统。该系统提供了搜索、标签、文章提交等功能。

Aphpkb 0.95.8之前的版本中存在跨站脚本漏洞，该漏洞源于(1)saa.php脚本没有正确过滤HTTP Referer头部，(2)login.php脚本没有充分过滤‘username’参数，(3)keysearch.php脚本没有充分过滤‘keyword_list’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://aphpkb.blogspot.dk/2013/12/release-of-aphpkb-0958.html

来源: www.netsparker.com

链接:https://www.netsparker.com/critical-xss-vulnerabilities-andy-php-knowledgebase

来源: sourceforge.net

链接:http://sourceforge.net/p/aphpkb/code/91

来源: SECUNIA

名称: 56228

链接:http://secunia.com/advisories/56228

来源: OSVDB

名称: 101492

链接:http://osvdb.org/101492

来源: OSVDB

名称: 101491

链接:http://osvdb.org/101491

来源: OSVDB

名称: 101467

链接:http://osvdb.org/101467

来源: aphpkb.blogspot.dk

链接:http://aphpkb.blogspot.dk/2013/12/release-of-aphpkb-0958.html

来源: BID

名称: 64550

链接:http://www.securityfocus.com/bid/64550