低危 Ulli Horlacher fex up to 20110613 跨站脚本攻击

CVE编号

CVE-2012-1293

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-09-26

漏洞描述

在20111129-2之前，Frams' Fast File EXchange(F*EX，又名fex)中的fup中的多个跨站点脚本(XSS)漏洞允许远程攻击者通过(1) to 或者 (2) from参数注入任意的Web脚本或HTML。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://archives.neohapsis.com/archives/bugtraq/2012-02/0109.html
http://archives.neohapsis.com/archives/bugtraq/2012-02/0112.html
http://fex.rus.uni-stuttgart.de/fex.html
http://osvdb.org/79420
http://secunia.com/advisories/47971
http://www.debian.org/security/2012/dsa-2414
http://www.openwall.com/lists/oss-security/2012/02/20/1
http://www.openwall.com/lists/oss-security/2012/02/20/8
http://www.openwall.com/lists/oss-security/2012/02/23/2
http://www.securityfocus.com/bid/52085

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	ulli_horlacher	fex	*		Up to (including) 20111129
	运行在以下环境
	应用	ulli_horlacher	fex	20110609	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110610	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110614	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110615	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110616	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110621	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110622	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110627	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110630	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110701	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110714	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110716	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110722	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110726	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110727	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110730	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110731	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110803	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110807	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110808	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110809	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110810	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110811	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110813	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110826	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110829	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110830	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110901	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110905	-
	运行在以下环境
	应用	ulli_horlacher	fex	20110906	-
	运行在以下环境
应用	ulli_horlacher	fex	20110907	-
运行在以下环境
应用	ulli_horlacher	fex	20110919	-
运行在以下环境
应用	ulli_horlacher	fex	20110920	-
运行在以下环境
应用	ulli_horlacher	fex	20110921	-
运行在以下环境
应用	ulli_horlacher	fex	20110930	-
运行在以下环境
应用	ulli_horlacher	fex	20111003	-
运行在以下环境
应用	ulli_horlacher	fex	20111005	-
运行在以下环境
应用	ulli_horlacher	fex	20111013	-
运行在以下环境
应用	ulli_horlacher	fex	20111028	-
运行在以下环境
应用	ulli_horlacher	fex	20111102	-
运行在以下环境
应用	ulli_horlacher	fex	20111108	-
运行在以下环境
应用	ulli_horlacher	fex	20111115	-
运行在以下环境
系统	debian_10	fex	*		Up to (excluding) 20120215-1
运行在以下环境
系统	debian_11	fex	*		Up to (excluding) 20120215-1
运行在以下环境
系统	debian_12	fex	*		Up to (excluding) 20120215-1
运行在以下环境
系统	debian_6	fex	*		Up to (excluding) 20100208+debian1-1+squeeze2
运行在以下环境
系统	debian_sid	fex	*		Up to (excluding) 20120215-1

阿里云评分 3.5

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 服务器失陷
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com