阿里云漏洞库

漏洞描述

MySQL  5.0.26 through 5.0.45，以及其他版本(包括5.0.45之后的版本中的 command-line客户端中的跨站点脚本(XSS)漏洞，，当启用--html选项时允许攻击者通过将其放在数据库单元格中，这在编写HTML文档时该客户端可能会访问该数据库单元格，从而注入任意Web脚本或HTML。注意：截至2008年10月31日，MySQL 5.0.67中尚未解决该问题。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://bugs.mysql.com/bug.php?id=27884
http://lists.apple.com/archives/security-announce/2010//Mar/msg00001.html
http://seclists.org/bugtraq/2008/Oct/0026.html
http://secunia.com/advisories/32072
http://secunia.com/advisories/34907
http://secunia.com/advisories/36566
http://secunia.com/advisories/38517
http://securityreason.com/securityalert/4357
http://support.apple.com/kb/HT4077
http://ubuntu.com/usn/usn-897-1
http://www.debian.org/security/2009/dsa-1783
http://www.henlich.de/it-security/mysql-command-line-client-html-injection-vu...
http://www.mandriva.com/security/advisories?name=MDVSA-2009:094
http://www.redhat.com/support/errata/RHSA-2009-1289.html
http://www.redhat.com/support/errata/RHSA-2010-0110.html
http://www.securityfocus.com/archive/1/496842/100/0/threaded
http://www.securityfocus.com/archive/1/496877/100/0/threaded
http://www.securityfocus.com/archive/1/497158/100/0/threaded
http://www.securityfocus.com/archive/1/497885/100/0/threaded
http://www.securityfocus.com/bid/31486
http://www.ubuntu.com/usn/USN-1397-1
https://exchange.xforce.ibmcloud.com/vulnerabilities/45590
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mysql	mysql	5.0.30	-
	运行在以下环境
	应用	mysql	mysql	5.0.36	-
	运行在以下环境
	应用	mysql	mysql	5.0.4	-
	运行在以下环境
	应用	mysql	mysql	5.0.44	-
	运行在以下环境
	应用	oracle	mysql	5.0.26	-
	运行在以下环境
	应用	oracle	mysql	5.0.27	-
	运行在以下环境
	应用	oracle	mysql	5.0.30	-
	运行在以下环境
	应用	oracle	mysql	5.0.32	-
	运行在以下环境
	应用	oracle	mysql	5.0.33	-
	运行在以下环境
	应用	oracle	mysql	5.0.37	-
	运行在以下环境
	应用	oracle	mysql	5.0.38	-
	运行在以下环境
	应用	oracle	mysql	5.0.41	-
	运行在以下环境
	应用	oracle	mysql	5.0.42	-
	运行在以下环境
	应用	oracle	mysql	5.0.45	-
	运行在以下环境
	应用	oracle	mysql	5.0.67	-
	运行在以下环境
	系统	centos_5	mysql	*		Up to (excluding) 5.0.77-3.el5
	运行在以下环境
	系统	oracle_5	oraclelinux-release	*		Up to (excluding) 5.0.77-3.el5
	运行在以下环境
	系统	redhat_5	mysql	*		Up to (excluding) 0:5.0.77-3.el5
	运行在以下环境
	系统	suse_11	libmysqlclient15	*		Up to (excluding) 5.0.67-13.20

攻击路径

远程
攻击复杂度

N/A
权限要求

无需权限
影响范围

有限影响
EXP成熟度

POC 已公开
补丁情况

没有补丁
数据保密性

N/A
数据完整性

传输被破坏
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

低危 MySQL up to 5.0.67 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况