Concrete5 跨站脚本和路径泄露漏洞

漏洞信息详情

Concrete5 跨站脚本和路径泄露漏洞

• CNNVD编号：CNNVD-201407-551
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-5107
  
• 漏洞类型：
  
  
  信息泄露
  
• 发布时间：
  
  2014-07-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2021-07-16
  
• 厂        商：
  
  concrete5
• 漏洞来源：
  Osanda Malith

concrete5是美国Portland实验室开发的一套免费的内容管理系统（CMS）。该系统可直接在页面上编辑、排版。

Concrete5 5.6.3之前版本中存在安全漏洞。远程攻击者可通过向single_pages/dashboard/ URI中的多个脚本（包括：system/basics/editor.php，system/view.php，system/environment/file_storage_locations.php，system/mail/importers.php，system/mail/method.php，system/permissions/file_types.php，system/permissions/files.php，system/permissions/tasks.php，system/permissions/users.php，system/seo/view.php，view.php，users/attributes.php，scrapbook/view.php，pages/attributes.php，files/attributes.php和files/search.php）发送直接的请求利用该漏洞获取安装路径。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://www.concrete5.org/documentation/background/version_history/5-6-3-release-notes

来源:OSVDB

链接:http://osvdb.org/show/osvdb/109269

来源:CONFIRM

链接:https://www.concrete5.org/documentation/background/version_history/5-6-3-release-notes

来源:MISC

链接:https://packetstormsecurity.com/files/127493/Concrete-5.6.2.1-REFERER-Cross-Site-Scripting.html

来源:BID

链接:https://www.securityfocus.com/bid/68685