FlatPress是一个开源,符合标准(XHTML valid),基于Smarty模板引擎的个人博客系统。支持多语言,支持通过插件来可扩展功能。
FlatPress 0.804中存在多个跨站脚本攻击漏洞。远程攻击者可以通过(1) 用户 或 (2) login.php的pass参数, 或者 (3)contact.php的名字参数,执行任意web脚本或HTML。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
Edoardo Vacchi FlatPress 0.804
Edoardo Vacchi flatpress-0.804.1-vivace.tar.bz2
http://downloads.sourceforge.net/flatpress/flatpress-0.804.1-vivace.tar.bz2?modtime=1222358468&big_mirror=0
来源: BID
名称: 31407
链接:http://www.securityfocus.com/bid/31407
来源: BUGTRAQ
名称: 20080925 Cross Site Scripting (XSS) Vulnerabilitiy in flatpress 0.804, CVE-2008-4120
链接:http://www.securityfocus.com/archive/1/archive/1/496740/100/0/threaded
来源: www.flatpress.org
链接:http://www.flatpress.org/home/comments.php?entry=entry080925-180744
来源: MISC
链接:http://www.datensalat.eu/~fabian/cve/CVE-2008-4120-flatpress.html
来源: sourceforge.net
链接:http://sourceforge.net/project/shownotes.php?group_id=157089&release_id=628765_id=628765
来源: SREASON
名称: 4324
链接:http://securityreason.com/securityalert/4324
暂无