Django CMS 'page_attribute' Template HTML 注入漏洞

文章由LinuxBoy分享于2019-04-02 04:04:57热评（411）

Django CMS 'page_attribute' Template HTML 注入漏洞

发布日期：2012-12-04
更新日期：2013-01-29

受影响系统：
django CMS django CMS 2.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 57559

django CMS是用pony作为技术支持的CMS，可以前端编辑。

django CMS 2.3.5 之前版本的page_attribute模板标签没有正确过滤，在实现上存在HTML注入漏洞，成功利用后可允许在受影响浏览器中执行HTML和脚本代码。

<*来源：vendor

链接：http://secunia.com/advisories/51953/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

django CMS
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载2.3.5版本：

https://www.django-cms.org/en/

推荐文章：

WordPress Responsive Logo Slideshow 插件多个HTML注入
WordPress Car Demon 插件多个HTML注入漏洞
Alt-N MDaemon 电子邮件主题HTML注入漏洞
TP-Link TL-WA701N和TL-WA701ND目录遍历和HTML注入漏
WordPress Terillion Reviews 插件 Profile Id HTML注入漏
OpenPLI Shell命令执行和多个HTML注入漏洞

Django CMS 'page_attribute' Template HTML 注入漏洞