发布日期：2013-08-20
更新日期：2013-08-21

受影响系统：

Puppet Labs Puppet Enterprise 3.x

不受影响系统：

Puppet Labs Puppet Enterprise 3.0.1

描述：

---

BUGTRAQ  ID: 61860
CVE(CAN) ID: CVE-2013-4968

Puppet是帮助系统管理员管理基础架构的IT自动化软件。

Puppet Enterprise 3.0.1存在点击劫持攻击漏洞，攻击者引诱用户单击透明层或不透明层上的按钮或链接，而非用户希望单击的链接，从而获取用户密码等敏感信息，执行任意代码等未授权操作。

<*来源：Puppet Labs
  
  链接：http://www.securelist.com/en/advisories/54552
        http://puppetlabs.com/security/cve/cve-2013-4968
*>

建议：

---

厂商补丁：

Puppet Labs
-----------
Puppet Labs已经为此发布了一个安全公告（cve-2013-4968）以及相应补丁:
cve-2013-4968：CVE-2013-4968 (Site Lacked Clickjacking Defense)
链接：http://puppetlabs.com/security/cve/cve-2013-4968

浏览次数：3667
严重程度：0（网友投票）