NuSOAP 'nusoap.php'跨站脚本攻击漏洞
| CNNVD-ID编号 | CNNVD-201009-275 | CVE编号 | CVE-2010-3070 |
| 发布时间 | 2010-09-30 | 更新时间 | 2010-09-30 |
| 漏洞类型 | 跨站脚本 | 漏洞来源 | N/A |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | dietrich_ayala | ||
漏洞介绍
NuSOAP 是 PHP 环境下的 WEB 服务编程工具,用于创建或调用 WEB 服务,是一个开源软件。
在MantisBT和其他产品中使用的NuSOAP 0.9.5版本中存在跨站脚本攻击漏洞。远程攻击者可以借助使用NuSOAP类的任意PHP脚本中的PATH_INFO注入任意web脚本或者HTML。
漏洞补丁
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://git.debian.org/?p=users/olberger-guest/nusoap.git;a=blobdiff;f=debian/patches/595248.patch;h=11202fa70433b62aeab7dfc68af668329bc0fe7e;hp=6af3d725fe74d839764d9755c5bb18458a192518;hb=3ac7a26a49086c6b91fb79e5acafcfcdc5d6980a;hpb=268f03b88c6900d1a87b17734c248c705c22cb07
参考网址
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=633011
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=629585
来源: BID
名称: 42959
链接:http://www.securityfocus.com/bid/42959
来源: MLIST
名称: [oss-security] 20100907 Re: CVE request: XSS in nusoap
链接:http://www.openwall.com/lists/oss-security/2010/09/07/4
来源: MLIST
名称: [oss-security] 20100903 CVE request: XSS in nusoap
链接:http://www.openwall.com/lists/oss-security/2010/09/03/2
来源: www.mantisbt.org
链接:http://www.mantisbt.org/bugs/view.php?id=12312
来源: sourceforge.net
链接:http://sourceforge.net/projects/nusoap/forums/forum/193579/topic/3834005
来源: MLIST
名称: [mantisbt-announce] 20100914 MantisBT 1.2.3 Released
链接:http://sourceforge.net/mailarchive/message.php?msg_name=4C8FC573.3060900%40leetcode.net
来源: FEDORA
名称: FEDORA-2010-14100
链接:http://lists.fedoraproject.org/pipermail/package-announce/2010-September/048325.html
来源: FEDORA
名称: FEDORA-2010-14098
链接:http://lists.fedoraproject.org/pipermail/package-announce/2010-September/048317.html
来源: git.mantisbt.org
链接:http://git.mantisbt.org/?p=mantisbt.git;a=commit;h=edb817991b99cd5538f102be26865fde7c6b7212
来源: git.debian.org
来源: git.debian.org
受影响实体
Dietrich_ayala Nusoap:0.9.5信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201009-275
评论