漏洞名称: ATutor 跨站脚本漏洞
CNNVD编号: CNNVD-201402-392
发布时间: 2014-02-28
更新时间: 2014-03-04
危害等级: 低危  低危
漏洞类型: 跨站脚本
威胁类型: 远程
CVE编号: CVE-2014-2091
漏洞来源: HauntIT

ATutor是ATutor团队开发的一套开源的基于Web的学习内容管理系统(LCMS)。该系统包括教学内容管理、论坛、聊天室等模块。

ATutor 2.1.1版本中的mods/_standard/forums/admin/forum_add.php脚本存在跨站脚本漏洞。当执行add_forum操作时,远程攻击者可借助‘title’参数利用该漏洞注入任意Web脚本脚本或HTML。

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        https://atutor.ca/

   
 

官方暂未发布补丁

Atutor Atutor:2.1.1