当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Revive Adserver \'report-generate.php\'跨站脚本漏洞

     发表日期:2014-12-08 14:57:00

Revive Adserver \'report-generate.php\'跨站脚本漏洞
BugTraq-ID:71718
CVE-ID:CVE-2014-8793
发布日期:2014-12-17
更新日期:2014-12-18
受影响系统:
Revive Adserver Revive Adserver <= 3.0.5
详细信息:

Revive Adserver是开源的广告服务器。

 

Revive Adserver 3.0.5及其他版本没有有效过滤"/www/admin/report-generate.php"的"refresh_page" GET参数值,在实现中存在跨站脚本安全漏洞,远程攻击者通过诱使用户打开构造的链接,利用此漏洞可在受影响站点用户浏览器中执行任意HTML及脚本代码。


来源:
vendor
解决办法:
厂商补丁:

Revive Adserver
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

http://www.revive-adserver.com/

https://www.htbridge.com/advisory/HTB23242

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8793

http://cwe.mitre.org/data/definitions/79.html

https://github.com/revive-adserver/revive-adserver/commit/2be73f9