Oracle Database Server 11.1.0.7/11.2.0.3/11.2.0.4/12.1.0.1/12.1.0.2 JPublisher resources.css respond

admin

0
文章

0
评论

2023-12-07 00:31:02 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

Oracle Database Server 11.1.0.7/11.2.0.3/11.2.0.4/12.1.0.1/12.1.0.2 JPublisher resources.css respond_error 跨站脚本攻击

CVE编号

CVE-2014-4301

利用情况

暂无

补丁情况

N/A

披露时间

2014-06-19

漏洞描述

Ajenti是一款基于Web的开源系统管理控制面板,可用于通过Web浏览器,管理远程系统管理性任务。 Ajenti URL 'respond_error()'存在跨站脚本漏洞。通过URL提交给ajenti:static/resources.js或ajenti:static/resources.css的输入在"respond_error()"函数(ajenti/routing.py)中缺少过滤，远程攻击者利用漏洞构建恶意URI，诱使用户解析，可获得敏感Cookie，劫持会话或在客户端上进行恶意操作。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://github.com/Eugeny/ajenti

参考链接
http://secunia.com/advisories/59177
http://www.securityfocus.com/bid/68047
https://github.com/Eugeny/ajenti/commit/d3fc5eb142ff16d55d158afb050af18d5ff09120
https://www.netsparker.com/critical-xss-vulnerabilities-in-ajenti

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ajenti	ajenti	*		Up to (including) 1.2.21
	运行在以下环境
	应用	ajenti	ajenti	1.2.0	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.1	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.10	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.11.2	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.12	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.13	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.14	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.15	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.16	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.17	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.18	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.19	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.2	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.20	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.3	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.4	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.5	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.6	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.7	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.8	-
	运行在以下环境
	应用	ajenti	ajenti	1.2.9	-