Foswiki 会话劫持和跨站请求伪造漏洞

漏洞介绍

Foswiki 1.0.5之前版本存在跨站请求伪造漏洞。远程攻击者可以劫持任意用户的身份认证，以便发送用于修改页、更改许可或更改群成员的请求。比如利用一个IMG元素的SRC属性中的用于保存或查看脚本的一个URL。

目前暂无Foswiki 会话劫持和跨站请求伪造漏洞的补丁信息，如Foswiki 会话劫持和跨站请求伪造漏洞补丁信息有更新，便会立即同步；

来源: MLIST

名称: [foswiki-announce] 20090427 Security Alert CVE-2009-1434: Foswiki Page View Cross-Site Request Forgery (CSRF)

链接：http://sourceforge.net/mailarchive/forum.php?thread_name=49F61C4E.2040806%40lavrsen.dk&forum_name=foswiki-announce
来源: foswiki.org

链接：http://foswiki.org/Support/SecurityAlert-CVE-2009-1434
来源: launchpad.net

链接：https://launchpad.net/bugs/cve/2009-1434
来源: XF

名称: foswiki-unspecified-csrf(50256)

链接：http://xforce.iss.net/xforce/xfdb/50256
来源: SECUNIA

名称: 34863

链接：http://secunia.com/advisories/34863