Koha Libraries跨站请求伪造漏洞

CVE编号

CVE-2015-4639

利用情况

暂无

补丁情况

N/A

披露时间

2017-07-22

漏洞描述

Koha Libraries是Koha社区开发的一套开源的图书馆自动化系统（ILS）。该系统提供分类、检索、成员和顾客管理等功能。 Koha Libraries中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞执行未授权的操作。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：http://bugs.koha-community.org/bugzilla3/show_bug.cgi?id=14416

参考链接
http://bugs.koha-community.org/bugzilla3/show_bug.cgi?id=14416
https://koha-community.org/koha-3-14-16-released/
https://koha-community.org/security-release-koha-3-16-12/
https://koha-community.org/security-release-koha-3-20-1/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	koha	koha	3.14.00	-
	运行在以下环境
	应用	koha	koha	3.14.01	-
	运行在以下环境
	应用	koha	koha	3.14.02	-
	运行在以下环境
	应用	koha	koha	3.14.03	-
	运行在以下环境
	应用	koha	koha	3.14.04	-
	运行在以下环境
	应用	koha	koha	3.14.05	-
	运行在以下环境
	应用	koha	koha	3.14.06	-
	运行在以下环境
	应用	koha	koha	3.14.07	-
	运行在以下环境
	应用	koha	koha	3.14.08	-
	运行在以下环境
	应用	koha	koha	3.14.09	-
	运行在以下环境
	应用	koha	koha	3.14.10	-
	运行在以下环境
	应用	koha	koha	3.14.11	-
	运行在以下环境
	应用	koha	koha	3.14.12	-
	运行在以下环境
	应用	koha	koha	3.14.13	-
	运行在以下环境
	应用	koha	koha	3.14.14	-
	运行在以下环境
	应用	koha	koha	3.14.15	-
	运行在以下环境
	应用	koha	koha	3.16.00	-
	运行在以下环境
	应用	koha	koha	3.16.01	-
	运行在以下环境
	应用	koha	koha	3.16.02	-
	运行在以下环境
	应用	koha	koha	3.16.03	-
	运行在以下环境
	应用	koha	koha	3.16.04	-
	运行在以下环境
	应用	koha	koha	3.16.05	-
	运行在以下环境
	应用	koha	koha	3.16.06	-
	运行在以下环境
	应用	koha	koha	3.16.07	-
	运行在以下环境
	应用	koha	koha	3.16.08	-
	运行在以下环境
	应用	koha	koha	3.16.09	-
	运行在以下环境
	应用	koha	koha	3.16.10	-
	运行在以下环境
	应用	koha	koha	3.16.11	-
	运行在以下环境
	应用	koha	koha	3.20.00	-

CVSS3评分 8.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 需要
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-352	跨站请求伪造（CSRF）

Exp相关链接

- avd.aliyun.com