检测

FreeBSD:foswiki -- 通过未检查的用户注册字段导致的脚本插入漏洞 (495b46fd-a30f-11e1-82c9-d0df9acfd7e5)

low Nessus 插件 ID 59206

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Foswiki 团队报告:

当新用户注册时,新用户可向 RegistrationAgent 通过“FirstName”或“OrganisationName”等标准注册字段生成的用户主题中添加任意 HTML 和脚本代码。

根据设计,假设经过认证的用户具有 CHANGE 权限(这是许多 Foswiki 站点中的情况),则 Foswiki 的正常编辑功能可允许包括脚本代码在内的任意 HTML 标记以任何方式插入到任何主题。但是,如果新用户利用此警告中详细说明的漏洞操纵注册代理为其创建此内容,则仅具有 CHANGE 权限的认证用户可创建脚本内容的假定是错误的。

解决方案

更新受影响的程序包。

另见

http://foswiki.org/Support/SecurityAlert-CVE-2012-1004

http://www.nessus.org/u?4bdc019d

插件详情

严重性: Low

ID: 59206

文件名: freebsd_pkg_495b46fda30f11e182c9d0df9acfd7e5.nasl

版本: 1.6

类型: local

发布时间: 2012/5/21

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Low

基本分数: 2.1

矢量: CVSS2#AV:N/AC:H/Au:S/C:N/I:P/A:N

漏洞信息

CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:foswiki

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2012/5/21

漏洞发布日期: 2012/4/13

参考资料信息

CVE: CVE-2012-1004