S9Y Serendipity Freetag-plugin 2.95 - 'style' Parameter Cross-Site Scripting

CVE编号

CVE-2008-0751

利用情况

暂无

补丁情况

N/A

披露时间

2008-02-14

漏洞描述

Cross-site scripting (XSS) vulnerability in the Freetag before 2.96 plugin for S9Y Serendipity, when using Internet Explorer 6 or 7, allows remote attackers to inject arbitrary web script or HTML via the PATH_INFO to plugin/tag/.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://blog.s9y.org/archives/190-Freetag-plugin-updated-to-prevent-XSS.html
http://lists.grok.org.uk/pipermail/full-disclosure/2008-February/060122.html
http://secunia.com/advisories/28852
http://www.bitsploit.de/uploads/Code/200802080000/
http://www.securityfocus.com/bid/27697
https://exchange.xforce.ibmcloud.com/vulnerabilities/40376

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	microsoft	internet_explorer	6	-
	运行在以下环境
	应用	microsoft	internet_explorer	7	-
	运行在以下环境
	应用	s9y	serendipity_event_freetag	*		Up to (excluding) 2.96

CVSS3评分 4.3

• 攻击路径 网络
• 攻击复杂度 N/A
• 权限要求 无
• 影响范围 N/A
• 用户交互 需要
• 可用性 无
• 保密性 无
• 完整性 部分地

AV:N/AC:M/Au:N/C:N/I:P/A:N

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

• https://www.exploit-db.com/exploits/31126

- avd.aliyun.com