phpGroupWare 'login.php' phpgw_参数跨站脚本攻击漏洞

CNNVD-ID编号	CNNVD-200912-349	CVE编号	CVE-2009-4416
发布时间	2009-07-22	更新时间	2009-12-25
漏洞类型	跨站脚本	漏洞来源	N/A
危险等级	中危	威胁类型	远程
厂商	phpgroupware

漏洞介绍

phpGroupWare是一个用PHP编写的多用户的网络组件，为开发其他程序提供了一个API。

没有正确地过滤提交给login.php页面的以phpgw_开始的查询参数名便返回给了用户，这可能导致跨站脚本攻击。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Debian Linux 5.0 alpha

Debian phpgroupware-0.9.16-addressbook_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-addressbook_0.9.16.012+dfsg-8+lenny1_all.deb

Debian phpgroupware-0.9.16-admin_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-admin_0.9.16.012+dfsg-8+lenny1_all.deb

Debian phpgroupware-0.9.16-calendar_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-calendar_0.9.16.012+dfsg-8+lenny1_all.deb

Debian phpgroupware-0.9.16-core-base_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-core-base_0.9.16.012+dfsg-8+lenny1_all.deb

Debian phpgroupware-0.9.16-core_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-core_0.9.16.012+dfsg-8+lenny1_all.deb

Debian phpgroupware-0.9.16-doc_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-doc_0.9.16.012+dfsg-8+lenny1_all.deb

Debian phpgroupware-0.9.16-email_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-email_0.9.16.012+dfsg-8+lenny1_all.deb

Debian phpgroupware-0.9.16-filemanager_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-filemanager_0.9.16.012+dfsg-8+lenny1_all.deb

Debian phpgroupware-0.9.16-manual_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-manual_0.9.16.012+dfsg-8+lenny1_all.deb

Debian phpgroupware-0.9.16-news-admin_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-news-admin_0.9.16.012+dfsg-8+lenny1_all.deb

Debian phpgroupware-0.9.16-notes_0.9.16.012+dfsg-8+lenny1_all.deb

http://security.debian.org/pool/updates/main/p/phpgroupware/phpgroupwa re-0.9.16-notes_0.9.16.012+dfsg-8+lenny1_all.deb

参考网址

来源: MISC

链接：http://kambing.ui.ac.id/gentoo-portage/www-apps/phpgroupware/files/phpgroupware-SA35519.patch
来源: XF

名称: phpgroupware-query-xss(51923)

链接：http://xforce.iss.net/xforce/xfdb/51923
来源: BID

名称: 35761

链接：http://www.securityfocus.com/bid/35761
来源: OSVDB

名称: 56179

链接：http://www.osvdb.org/56179
来源: MLIST

名称: [oss-security] 20091220 CVE request: phpgroupware

链接：http://www.openwall.com/lists/oss-security/2009/12/20/1
来源: svn.savannah.gnu.org

链接：http://svn.savannah.gnu.org/viewvc?view=rev&root=phpgroupware&sortby=date&revision=19117
来源: svn.savannah.gnu.org

链接：http://svn.savannah.gnu.org/viewvc/branches/Version-0_9_16-branch/phpgwapi/doc/CHANGELOG?r1=17045&r2=19117&pathrev=19117&sortby=date&root=phpgroupware
来源: svn.savannah.gnu.org

链接：http://svn.savannah.gnu.org/viewvc/branches/Version-0_9_16-branch/login.php?r1=19063&r2=19117&pathrev=19117&sortby=date&root=phpgroupware

受影响实体

Phpgroupware Phpgroupware:0.9.16.12

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200912-349

phpGroupWare 'login.php' phpgw_参数跨站脚本攻击漏洞

漏洞介绍

漏洞补丁

参考网址

受影响实体

信息来源

查询漏洞

相关漏洞

支持服务

云学院

合作与生态

phpGroupWare 'login.php' phpgw_参数跨站脚本攻击漏洞

漏洞介绍

漏洞补丁

参考网址

受影响实体

信息来源

查询漏洞

相关漏洞