Chatelao PHP Address Book up to 6.2.12 preferences.php 跨站脚本攻击

CVE编号

CVE-2012-1912

利用情况

暂无

补丁情况

N/A

披露时间

2012-09-10

漏洞描述

PHP地址簿（Address Book）是一个用PHP开发的简单基于Web的地址簿、联系人管理的应用，支持组、地址、电子邮件、电话号码和生日信息；可以导出到vCard和CSV ，集成了Gmail、Google和Yahoo地图，数据库采用MySQL。 PHP地址簿存在多个SQL注入和多个跨站脚本漏洞，攻击者可利用此漏洞窃取基于cookie的身份验证凭证，破坏应用程序，访问或修改数据。

解决建议

目前没有详细的解决方案提供：http://sourceforge.net/projects/php-addressbook/

参考链接
http://secunia.com/advisories/42781
http://secunia.com/advisories/49212
http://sourceforge.net/tracker/?func=detail&aid=3496653&group_id=157964&atid=805929
http://sourceforge.net/tracker/?func=detail&aid=3501716&group_id=157964&atid=805929
http://sourceforge.net/tracker/?func=detail&aid=3527242&group_id=157964&atid=805929
http://www.darksecurity.de/advisories/2012/SSCHADV2012-007.txt
http://www.darksecurity.de/index.php?/215-SSCHADV2012-013-PHP-Address-Book-7....
http://www.exploit-db.com/exploits/18578
http://www.securityfocus.com/bid/52396
http://www.securityfocus.com/bid/53598
https://exchange.xforce.ibmcloud.com/vulnerabilities/73944

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	chatelao	php_address_book	*		Up to (including) 7.0
	运行在以下环境
	应用	chatelao	php_address_book	1.0	-
	运行在以下环境
	应用	chatelao	php_address_book	1.2	-
	运行在以下环境
	应用	chatelao	php_address_book	2.0	-
	运行在以下环境
	应用	chatelao	php_address_book	2.1	-
	运行在以下环境
	应用	chatelao	php_address_book	2.1.1	-
	运行在以下环境
	应用	chatelao	php_address_book	2.2	-
	运行在以下环境
	应用	chatelao	php_address_book	2.3	-
	运行在以下环境
	应用	chatelao	php_address_book	2.4	-
	运行在以下环境
	应用	chatelao	php_address_book	2.6	-
	运行在以下环境
	应用	chatelao	php_address_book	3.0	-
	运行在以下环境
	应用	chatelao	php_address_book	3.1	-
	运行在以下环境
	应用	chatelao	php_address_book	3.1.1	-
	运行在以下环境
	应用	chatelao	php_address_book	3.1.2	-
	运行在以下环境
	应用	chatelao	php_address_book	3.1.3	-
	运行在以下环境
	应用	chatelao	php_address_book	3.1.4	-
	运行在以下环境
	应用	chatelao	php_address_book	3.1.5	-
	运行在以下环境
	应用	chatelao	php_address_book	3.1.6	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.1	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.10	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.11	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.12	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.13	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.14	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.2	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.3	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.4	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.5	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.6	-
	运行在以下环境
	应用	chatelao	php_address_book	3.2.7	-
	运行在以下环境
应用	chatelao	php_address_book	3.2.8	-
运行在以下环境
应用	chatelao	php_address_book	3.2.9	-
运行在以下环境
应用	chatelao	php_address_book	3.3	-
运行在以下环境
应用	chatelao	php_address_book	3.3.1	-
运行在以下环境
应用	chatelao	php_address_book	3.3.10	-
运行在以下环境
应用	chatelao	php_address_book	3.3.12	-
运行在以下环境
应用	chatelao	php_address_book	3.3.13	-
运行在以下环境
应用	chatelao	php_address_book	3.3.14	-
运行在以下环境
应用	chatelao	php_address_book	3.3.15	-
运行在以下环境
应用	chatelao	php_address_book	3.3.16	-
运行在以下环境
应用	chatelao	php_address_book	3.3.17	-
运行在以下环境
应用	chatelao	php_address_book	3.3.18	-
运行在以下环境
应用	chatelao	php_address_book	3.3.2	-
运行在以下环境
应用	chatelao	php_address_book	3.3.3	-
运行在以下环境
应用	chatelao	php_address_book	3.3.4	-
运行在以下环境
应用	chatelao	php_address_book	3.3.5	-
运行在以下环境
应用	chatelao	php_address_book	3.3.6	-
运行在以下环境
应用	chatelao	php_address_book	3.3.7	-
运行在以下环境
应用	chatelao	php_address_book	3.3.8	-
运行在以下环境
应用	chatelao	php_address_book	3.3.9	-
运行在以下环境
应用	chatelao	php_address_book	3.4	-
运行在以下环境
应用	chatelao	php_address_book	3.4.1	-
运行在以下环境
应用	chatelao	php_address_book	3.4.2	-
运行在以下环境
应用	chatelao	php_address_book	3.4.3	-
运行在以下环境
应用	chatelao	php_address_book	3.4.4	-
运行在以下环境
应用	chatelao	php_address_book	3.4.5	-
运行在以下环境
应用	chatelao	php_address_book	3.4.6	-
运行在以下环境
应用	chatelao	php_address_book	3.4.7	-
运行在以下环境
应用	chatelao	php_address_book	3.4.8	-
运行在以下环境
应用	chatelao	php_address_book	3.4.9	-
运行在以下环境
应用	chatelao	php_address_book	4.0	-
运行在以下环境
应用	chatelao	php_address_book	4.0.2	-
运行在以下环境
应用	chatelao	php_address_book	4.1.1	-
运行在以下环境
应用	chatelao	php_address_book	4.1.3	-
运行在以下环境
应用	chatelao	php_address_book	4.1.4	-
运行在以下环境
应用	chatelao	php_address_book	5.0	-
运行在以下环境
应用	chatelao	php_address_book	5.1	-
运行在以下环境
应用	chatelao	php_address_book	5.2	-
运行在以下环境
应用	chatelao	php_address_book	5.3	-
运行在以下环境
应用	chatelao	php_address_book	5.4	-
运行在以下环境
应用	chatelao	php_address_book	5.4.1	-
运行在以下环境
应用	chatelao	php_address_book	5.4.2	-
运行在以下环境
应用	chatelao	php_address_book	5.4.3	-
运行在以下环境
应用	chatelao	php_address_book	5.4.4	-
运行在以下环境
应用	chatelao	php_address_book	5.4.5	-
运行在以下环境
应用	chatelao	php_address_book	5.4.6	-
运行在以下环境
应用	chatelao	php_address_book	5.4.7	-
运行在以下环境
应用	chatelao	php_address_book	5.4.9	-
运行在以下环境
应用	chatelao	php_address_book	5.5	-
运行在以下环境
应用	chatelao	php_address_book	5.6	-
运行在以下环境
应用	chatelao	php_address_book	5.7	-
运行在以下环境
应用	chatelao	php_address_book	5.7.1	-
运行在以下环境
应用	chatelao	php_address_book	5.7.2	-
运行在以下环境
应用	chatelao	php_address_book	5.7.3	-
运行在以下环境
应用	chatelao	php_address_book	5.7.4	-
运行在以下环境
应用	chatelao	php_address_book	5.7.5	-
运行在以下环境
应用	chatelao	php_address_book	5.8.1	-
运行在以下环境
应用	chatelao	php_address_book	6.0	-
运行在以下环境
应用	chatelao	php_address_book	6.1	-
运行在以下环境
应用	chatelao	php_address_book	6.1.1	-
运行在以下环境
应用	chatelao	php_address_book	6.1.2	-
运行在以下环境
应用	chatelao	php_address_book	6.1.3	-
运行在以下环境
应用	chatelao	php_address_book	6.1.4	-
运行在以下环境
应用	chatelao	php_address_book	6.2	-
运行在以下环境
应用	chatelao	php_address_book	6.2.1	-
运行在以下环境
应用	chatelao	php_address_book	6.2.10	-
运行在以下环境
应用	chatelao	php_address_book	6.2.11	-
运行在以下环境
应用	chatelao	php_address_book	6.2.12	-
运行在以下环境
应用	chatelao	php_address_book	6.2.2	-
运行在以下环境
应用	chatelao	php_address_book	6.2.3	-
运行在以下环境
应用	chatelao	php_address_book	6.2.4	-
运行在以下环境
应用	chatelao	php_address_book	6.2.5	-
运行在以下环境
应用	chatelao	php_address_book	6.2.6	-
运行在以下环境
应用	chatelao	php_address_book	6.2.7	-
运行在以下环境
应用	chatelao	php_address_book	6.2.9	-

CVSS3评分 4.3

• 攻击路径 网络
• 攻击复杂度 N/A
• 权限要求 无
• 影响范围 N/A
• 用户交互 需要
• 可用性 无
• 保密性 无
• 完整性 部分地

AV:N/AC:M/Au:N/C:N/I:P/A:N

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

• https://www.exploit-db.com/exploits/18578

- avd.aliyun.com