发布日期：2013-09-11
更新日期：2013-10-05

受影响系统：

wikkawiki wikkawiki <= 1.3.4-p1

描述：

---

BUGTRAQ  ID: 62325
CVE(CAN) ID: CVE-2013-5586

WikkaWiki是一个用PHP语言编写的轻量级Wiki引擎，后台数据使用MySQL数据库存储。

WikkaWiki 1.3.4-p1之前版本没有有效过滤的wikka.php内用户提供的数据，存在跨站脚本执行漏洞，远程攻击者可在sql/内的wakka参数内注入任意Web脚本或HTML，诱使已经登录的用户打开特制的恶意链接，然后在受影响站点浏览器上下文中执行这些HTML和脚本代码。

<*来源：High-Tech Bridge Security Research Lab
  
  链接：http://seclists.org/bugtraq/2013/Sep/47
*>

建议：

---

厂商补丁：

wikkawiki
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://wikkawiki.org/HomePage
http://docs.wikkawiki.org/WhatsNew
https://wush.net/trac/wikka/ticket/1152

浏览次数：2432
严重程度：0（网友投票）