微点交流论坛

标题: Tikiwiki 多个漏洞 [打印本页]

作者: pioneer 时间: 2007-12-28 10:02 标题: Tikiwiki 多个漏洞

来源

secunia.com

软件名

Tikiwiki 1.x

描述

这可恶意进行跨站脚本攻击

1)tiki-listmovies.php中输入的"area_name"参数在使用前没有被准确过滤，这个可导致进行目录遍历攻击

2)tiki-special_chars.php中输入的"area_name"参数在返回到用户前没有被准确过滤，这可在用户浏览器浏览受影响的网页时执行任意HTML和脚本代码。

3)tiki-edit_css.php、tiki-list_games.php 和 tiki-g-admin_shared_source.php中存在特定的漏洞，目前没有更详细信息

解决方案

升级到V1.9.9
使"edit css", "games", 和"galaxia"不可用，并且删除掉tiki-listmovies.php 和tiki-special_chars.php文件

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn