VULHUB ™

ownCloud 4.0.2之前版本中存在多个跨站脚本(XSS)漏洞。远程攻击者可利用该漏洞通过(1)文件名传送到apps/user_ldap/settings.php脚本(2)url或(3)title参数传送到apps/bookmarks/ajax/editBookmark.php脚本(4)tag或(5)page参数传送到apps/bookmarks/ajax/updateList.php脚本(6)identity传送到apps/user_openid/settings.php脚本(7)apps/gallery/lib/tiles.php脚本中的栈名(8)root参数传送到apps/gallery/templates/index.php脚本(9)apps/calendar/templates/part.import.php脚本中的日历显示名称(10)apps/calendar/templates/part.choosecalendar.rowfields.php脚本中的日历uri(11)title(12)location或(13)apps/calendar/lib/object.php脚本中的description参数(14)core/js/multiselect.js中的某些向量或(15)artist(16)album或(17)title内容参数传送到apps/media/lib_scanner.php脚本，注入任意web脚本或HTML。

ownCloud 4.0.2之前版本中存在多个跨站脚本(XSS)漏洞。远程攻击者可利用该漏洞通过(1)文件名传送到apps/user_ldap/settings.php脚本(2)url或(3)title参数传送到apps/bookmarks/ajax/editBookmark.php脚本(4)tag或(5)page参数传送到apps/bookmarks/ajax/updateList.php脚本(6)identity传送到apps/user_openid/settings.php脚本(7)apps/gallery/lib/tiles.php脚本中的栈名(8)root参数传送到apps/gallery/templates/index.php脚本(9)apps/calendar/templates/part.import.php脚本中的日历显示名称(10)apps/calendar/templates/part.choosecalendar.rowfields.php脚本中的日历uri(11)title(12)location或(13)apps/calendar/lib/object.php脚本中的description参数(14)core/js/multiselect.js中的某些向量或(15)artist(16)album或(17)title内容参数传送到apps/media/lib_scanner.php脚本，注入任意web脚本或HTML。