当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

ZendTo "emailAddr" 脚本插入漏洞

信息来源:Richard Rogerson      发表日期:2013-12-05 13:53:00

ZendTo是基于Web的文件转换器。

 

ZendTo 4.11-12版本没有正确过滤pickup.php的"emailAddr" 参数值,可导致插入任意HTML和脚本代码,被查看后,在受影响站点的用户浏览器上下文中执行这些代码。

 

CVE-ID:2013-6808

受影响系统:

ZendTo ZendTo <=  4.11-12

 

解决办法:

厂商补丁:

 

ZendTo

------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

http://www.zend.to/changelog.php

 

参考信息:

http://secunia.com/advisories/56283/