concrete5 跨站脚本漏洞

漏洞信息详情

concrete5 跨站脚本漏洞

• CNNVD编号：CNNVD-201407-655
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-5108
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2014-07-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2021-07-16
  
• 厂        商：
  
  concrete5
• 漏洞来源：

concrete5是美国Portland实验室开发的一套免费的内容管理系统（CMS）。该系统可直接在页面上编辑、排版。

Concrete5 5.6.3之前版本的single_pagesdownload_file.php脚本中存在跨站脚本漏洞。远程攻击者可通过向index.php/download_file URI发送特制的HTTP Referer头请求利用该漏洞注入任意Web脚本或HTML。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://www.concrete5.org/documentation/background/version_history/5-6-3-release-notes

来源:MISC

链接:https://packetstormsecurity.com/files/127493/Concrete-5.6.2.1-REFERER-Cross-Site-Scripting.html

来源:CONFIRM

链接:https://www.concrete5.org/documentation/background/version_history/5-6-3-release-notes

来源:OSVDB

链接:http://osvdb.org/show/osvdb/109273

来源:BID

链接:https://www.securityfocus.com/bid/68685