Mahara CSV域XSS漏洞

文章由LinuxBoy分享于2019-04-02 05:04:50热评（488）

Mahara CSV域XSS漏洞

发布日期：2012-11-23
更新日期：2012-11-26

受影响系统：
mahara mahara 1.5.x
mahara mahara 1.4.x
mahara mahara 1.2
描述：
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2012-6037

Mahara是一个开源的电子文件夹、网络日志、履历表生成器和社会联网系统。

Mahara 1.4.x（1.4.5之前版本）、1.5.x（1.5.4之前版本）、1.2存在多个XSS漏洞，在bulk user、group、group member upload功能内的错误消息中没有正确处理未知字段内的CSV域，可允许远程攻击者注入任意Web脚本或HTML。

<*来源：vendor

链接：http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6037
https://mahara.org/interaction/forum/topic.php?id=4937
*>

测试方法：
--------------------------------------------------------------------------------

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

vendor （）提供了如下测试方法：

建议：
--------------------------------------------------------------------------------
厂商补丁：

mahara
------
https://bugs.launchpad.net/mahara/+bug/1055232

推荐文章：

Mahara CSV域XSS漏洞