Concrete5 跨站脚本和路径泄露漏洞 CVE-2014-5107 CNNVD-201407-551

5.0 AV AC AU C I A
发布: 2014-07-28
修订: 2021-07-15

concrete5是美国Portland实验室开发的一套免费的内容管理系统(CMS)。该系统可直接在页面上编辑、排版。 Concrete5 5.6.3之前版本中存在安全漏洞。远程攻击者可通过向single_pages/dashboard/ URI中的多个脚本(包括:system/basics/editor.php,system/view.php,system/environment/file_storage_locations.php,system/mail/importers.php,system/mail/method.php,system/permissions/file_types.php,system/permissions/files.php,system/permissions/tasks.php,system/permissions/users.php,system/seo/view.php,view.php,users/attributes.php,scrapbook/view.php,pages/attributes.php,files/attributes.php和files/search.php)发送直接的请求利用该漏洞获取安装路径。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有23条受影响产品信息