VULHUB ™

Serendipity是一个采用PHP实现的 weblog/blog系统。它功能丰富，符合标准,基于BSDLicense开源。 Serendipity使用的Xinha WYSIWYG editor的动态配置功能存在漏洞，由于可知或可受外部影响的共享密钥的SHA1哈希所使用的特制 backend_config_secret_key_location和backend_config_hash参数无法被\"deprecated config pass\"特性正确处理，远程攻击者可通过(1)上述参数，或(2)xinha_read_passed_data函数无法正确处理的特制backend_data和backend_data[key_location]变量，绕开访问限制，并修改任意插件的配置。

Serendipity是一个采用PHP实现的 weblog/blog系统。它功能丰富，符合标准,基于BSDLicense开源。 Serendipity使用的Xinha WYSIWYG editor的动态配置功能存在漏洞，由于可知或可受外部影响的共享密钥的SHA1哈希所使用的特制 backend_config_secret_key_location和backend_config_hash参数无法被\"deprecated config pass\"特性正确处理，远程攻击者可通过(1)上述参数，或(2)xinha_read_passed_data函数无法正确处理的特制backend_data和backend_data[key_location]变量，绕开访问限制，并修改任意插件的配置。