Piwik < 0.6 form_url参数跨站脚本漏洞

来源:岁月联盟 编辑:猪蛋儿 时间:2010-05-11

影响版本:
Piwik < 0.6

漏洞描述:
BugCVE: CVE-2010-1453
BUGTRAQ: 39144

Piwik是一款利用Php+MySQL技术构建的开源网页访问统计系统。

Piwik没有正确地过滤提交给index.php页面的form_url参数便返回给了用户,攻击者诱骗用户跟随恶意的登录URL链接就可以执行反射式跨站脚本攻击,导致在用户浏览器会话中执行任意HTML和脚本代码。

<*参考

http://secunia.com/advisories/39666/

*>

安全建议:
厂商补丁:
Piwik
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://piwik.org/latest.zip