icon 热门文章
- 2018年APC... 2018-11-13
- 2018年FIR... 2018-11-13
- 中国-东盟网络安... 2018-10-25
- 国家计算机网络应... 2018-10-09
- 2018中国网络... 2018-08-20
- CNCERT圆满... 2018-03-16
- CNCERT顺利... 2017-08-21
- 安全知识普及-2... 2017-08-21
- 安全知识普及-2... 2017-08-21
- 2012年3月份... 2013-01-24
icon 推荐文章
- 关于开展CQCERT... 2018-11-16
- 关于第三方支付平台J... 2018-11-13
- 关于Oracle W... 2018-11-13
- 2018年APCER... 2018-11-13
- 2018年FIRST... 2018-11-13
- 国家信息安全漏洞共享... 2018-10-25
- 网络安全信息与动态周... 2018-10-25
- 中国-东盟网络安全应... 2018-10-25
- 国家计算机网络应急技... 2018-10-09
- 网络安全信息与动态周... 2018-09-26
 
   所在位置: 首页 > 专项工作

科汛KesionCMS前台ChangesUrl参数存在存储型跨站脚本漏洞

信息来源: 管理员 添加日期:2017-08-21 点击数: 1292
 
 

重庆市网络安全通报

2017年 第665期(总第4425期)

国家计算机网络应急技术处理协调中心重庆分中心      07月19日

 

 

科汛KesionCMS前台ChangesUrl参数存在存储型跨站脚本漏洞

 

一. 影响产品:

厦门科汛软件有限公司 KesionCMS <=X2.0.170329

 

二.CNVD漏洞编号:

CNVD-2017-08954

 

三.漏洞描述:

KesionCMS智能建站系统是厦门科汛软件有限公司采用ASP+ACCESS/MSSQL数据库架构开发的一套智能建站系统。

科汛KesionCMS前台存在存储型跨站脚本漏洞,由于前台页面user/User_post.asp在发布文章时未对ChangesUrl参数进行有效过滤,攻击者可利用漏洞添加管理员账号并GetShell。

 

四.危害级别:

 

五.漏洞危害

科汛KesionCMS前台存在存储型跨站脚本漏洞,由于前台页面user/User_post.asp在发布文章时未对ChangesUrl参数进行有效过滤,攻击者可利用漏洞添加管理员账号并GetShell。

 

六.安全建议:

厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:

http://www.kesion.com/net

 

.关于CNVD:

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。

 

 

 

 

(此页无正文)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

送:重庆市互联网管理领导小组;重庆市公安局;重庆市国安局;重庆市保密局;中国人民银行重庆营业管理部;华龙网;重庆电信;重庆移动;重庆联通;重庆铁通;重庆九图科技有限公司;重庆天极网络有限公司;

抄:国家计算机网络应急技术处理协调中心;重庆通信管理局

编辑:国家计算机网络应急技术处理协调中心重庆分中心

责任编辑:彭虹彭

联系电话:(023)68586276

 

 

 

 

 

Copyright © 2012 国家计算机网络应急技术处理协调中心重庆分中心(重庆互联网应急中心)
技术支持:重庆衡信科技有限公司   渝ICP备08102962号-2

您是第 1036750  位访问者!