Movable Type跨站腳本和安全繞過漏洞
影響版本:
Movable Type Movable Type Pro 4.25
Movable Type Movable Type Pro 4.24
Movable Type Movable Type Open Source 4.25
Movable Type Movable Type Open Source 4.24
Movable Type Movable Type Enterprise 4.25
Movable Type Movable Type Enterprise 4.24
Movable Type Movable Type Community Solution 4.25
Movable Type Movable Type Community Solution 4.24
Movable Type Movable Type 4.25
Movable Type Movable Type 4.24
漏洞描述:
Bugraq ID: 35471
Movable Type是一款基于WEB的網絡博客系統。
Movable Type存在多個安全問題,遠程攻擊者可以利用漏洞獲得敏感信息或繞過安全限制。
-mt-wizard.cgi存在一個未明輸入驗證問題,攻擊者可以利用漏洞以用戶瀏覽器上下文執行任意HTML和腳本代碼。
-mt-wizard.cgi存在未明錯誤可繞過部分安全限制。
<*參考 http://www.movabletype.org/documentation/appendices/release-notes/426.html
http://jvn.jp/jp/JVN86472161/index.html
http://jvn.jp/jp/JVN08369659/index.html *>
SEBUG安全建議:
聯系供應商升級到最新程序:
http://www.movabletype.org/
【編輯推薦】
