微点交流论坛

标题: Joomla! 多个漏洞 [打印本页]

作者: pioneer 时间: 2007-7-31 11:00 标题: Joomla! 多个漏洞

来源

secunia.com

软件名

Joomla! 1.x

描述

Joomla! 中的漏洞可被用来进行会话修复攻击，跨站攻击或HTTP反应的分裂攻击。

1）由于在com_search, com_content和mod_login中某些输入在返回用户前不能被充分过滤，所以用户浏览器会话中被影响的网址文本可被执行任意HTML和脚本代码

2）由于输入"url"参数时在返回用户前不能被充分过滤，这可被用来插入任意的HTTP 头文件。头文件中包含了发送到用户的恢复，允许用户浏览器会话中被影响的网址文本执行意HTML和脚本代码

3）处理会话时的错误可通过欺骗用户登陆一个特定的链接来劫持其他用户的会话。
这在V1.0.13前已被报告

解决方案

升级到V1.0.13
http://joomlacode.org/gf/project/joomla/frs/

[ Last edited by pioneer on 2007-7-31 at 13:38 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn