当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Jamroom Search模块"search_string"跨站脚本漏洞

信息来源:High-Tech Bridge SA (http://www.htbridge.ch/)      发表日期:2013-03-15 15:58:00

Jamroom是开源社区开发平台。

Jamroom 1.1.1之前版本Search模块在实现上存在安全漏洞,search/results/all/1/4的"search_string" POST 参数值没有被正确过滤即返回给用户,这可导致在受影响站点上下文的用户浏览器中执行任意HTML和脚本代码。

 

CVE-ID:2013-6804

受影响系统:

jamroom jamroom < 1.1.1

 

解决办法:

厂商补丁:

 

jamroom

-------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

http://www.jamroom.net/

https://www.jamroom.net/the-jamroom-network/networkmarket/43/search/expanded_changelog=1

 

HTB23184:

https://www.htbridge.com/advisory/HTB23184

参考信息:

http://secunia.com/advisories/55886