偵測

FreeBSD:foswiki -- 經由未經檢查的使用者註冊欄位出現指令碼插入弱點 (495b46fd-a30f-11e1-82c9-d0df9acfd7e5)

low Nessus Plugin ID 59206

語系:

概要

遠端 FreeBSD 主機缺少安全性相關更新。

說明

Foswiki 團隊報告:

當新使用者註冊時,其可透過標準註冊欄位 (如 'FirstName' 或 'OrganisationName') 新增任意 HTML 和指令碼至 RegistrationAgent 產生的使用者主題。

在設計上,Foswiki 的一般編輯功能允許任意 HTML 標記 (包括指令碼) 以任何方式插入任何主題,同時假設經驗證的使用者具有 CHANGE 權限;這在許多 Foswiki 網站上都是如此。然而,如果新使用者可惡意利用此警告中詳述的弱點,來操控註冊代理程式為其建立內容,則不應假設只有具有 CHANGE 權限的經驗證使用者可以建立指令碼內容。

解決方案

更新受影響的套件。

另請參閱

http://foswiki.org/Support/SecurityAlert-CVE-2012-1004

http://www.nessus.org/u?4bdc019d

Plugin 詳細資訊

嚴重性: Low

ID: 59206

檔案名稱: freebsd_pkg_495b46fda30f11e182c9d0df9acfd7e5.nasl

版本: 1.6

類型: local

已發布: 2012/5/21

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 3.0

CVSS v2

風險因素: Low

基本分數: 2.1

媒介: CVSS2#AV:N/AC:H/Au:S/C:N/I:P/A:N

弱點資訊

CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:foswiki

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2012/5/21

弱點發布日期: 2012/4/13

參考資訊

CVE: CVE-2012-1004