Open Classifieds 跨站脚本漏洞

漏洞信息详情

Open Classifieds 跨站脚本漏洞

• CNNVD编号：CNNVD-201403-277
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-2024
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2014-03-18
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-03-18
  
• 厂        商：
  
  openclassifieds
• 漏洞来源：

Open Classifieds是OpenClassifieds公司的一套基于PHP和MySQL的开源分类广告软件。该软件支持社交登录、自定义字段和与支付宝集成等。

Open Classifieds 2 2.1.2及之前的版本中的classes/controller/error.php脚本存在跨站脚本漏洞，该漏洞源于shared-apartments-rooms/ URI没有充分过滤‘PATH_INFO’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://open-classifieds.com/

来源: www.htbridge.com

链接:https://www.htbridge.com/advisory/HTB23204

来源: github.com

链接:https://github.com/open-classifieds/openclassifieds2/issues/556

来源: github.com

链接:https://github.com/open-classifieds/openclassifieds2/commit/45ee8fb601a91b8a4238229580a32a4fd8d96ef9

来源: BUGTRAQ

名称: 20140312 Cross-Site Scripting (XSS) in Open Classifieds

链接:http://www.securityfocus.com/archive/1/archive/1/531428/100/0/threaded

来源:SECUNIA

名称:57377

链接:http://secunia.com/advisories/57377