BUGTRAQ ID: 36382
Horde Framework是个以PHP为基础的架构,用于创建网络应用程序。
Horde应用框架中存在多个输入验证错误,远程攻击者可以通过向服务器提交恶意请求执行脚本注入或跨站脚本攻击。
1) 表单库在处理图形表单字段时可能导致覆盖任意本地文件。成功攻击要求应用使用了受影响的图形字段(如Ansel或Turba)且拥有写权限。
2) MIME Viewer库在渲染某些文本部分时存在错误,用户查看恶意数据时就会导致在浏览器会话中执行任意HTML和脚本代码。
3) 偏好系统没有正确地过滤数字的偏好类型,可能导致在浏览器会话中执行任意HTML和脚本代码。
Horde Horde 3.3.x
Horde Horde 3.2.x
厂商补丁:
Horde
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
ftp://ftp.horde.org/pub/horde/horde-3.2.5.tar.gz
http://ftp.horde.org/pub/horde/horde-3.2.5.tar.gz
ftp://ftp.horde.org/pub/horde/patches/patch-horde-3.2.4-3.2.5.gz
http://ftp.horde.org/pub/horde/patches/patch-horde-3.2.4-3.2.5.gz
京公网安备 11010502034610号
暂无评论