|
您现在的位置: 中国网络安全联盟(China Network Security Union) >> 安全公告 >> 漏洞公告 >> 正文 |
Moodle的blog/edit.php中etitle参数HTML注入漏洞
|
作者:Chengker 点击数: 更新:2008-8-3 12:33:23 ★★★  【字体:小 大】 |
受影响系统:
Moodle Moodle 1.7.x
Moodle Moodle 1.6.x
不受影响系统:
Moodle Moodle 1.7.5
Moodle Moodle 1.6.7
描述:
Moodle是流行的开放源码课程管理系统。
Moodle的blog/edit.php文件中没有正确地过滤对etitle参数的输入便进行了存储,如果远程攻击者提交了创建带有恶意标题的blog项请求的话,就会在用户浏览器中注入并执行任意HTML和脚本代码。
厂商补丁:
Moodle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://cvs.moodle.org/moodle/blog/lib.php?r1=1.38.6.3&r2=1.38.6.2 |
| 安全公告录入:Chengker 责任编辑:Chengker |
上一个安全公告: Apple Safari中存在域扩展不安全Cookies访问漏洞
下一个安全公告: WinRemotePC Server 含报文处理远程拒绝服务漏洞 |
|
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)