阿里云漏洞库

漏洞描述

**已取代** DokuWiki中doku.php中的跨站点请求伪造（CSRF）漏洞2012年1月25日Angua允许远程攻击者劫持管理员对添加任意用户的请求的身份验证。注意：此问题已由供应商提出争议，该供应商指出这是CVE-2012-2129引起的：“利用代码仅使用XSS漏洞提取有效的CSRF令牌。”

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://bugs.dokuwiki.org/index.php?do=details&task_id=2488
http://ircrash.com/uploads/dokuwiki.txt
http://seclists.org/bugtraq/2012/Apr/121
http://secunia.com/advisories/48848
http://www.openwall.com/lists/oss-security/2012/04/22/4
http://www.openwall.com/lists/oss-security/2012/04/23/1
http://www.securityfocus.com/bid/53041
https://bugzilla.redhat.com/show_bug.cgi?id=815122
https://exchange.xforce.ibmcloud.com/vulnerabilities/74907

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	andreas_gohr	dokuwiki	2012-01-25	-
	运行在以下环境
	系统	debian_10	dokuwiki	*		Up to (excluding) 0.0.20120125a-1
	运行在以下环境
	系统	debian_11	dokuwiki	*		Up to (excluding) 0.0.20120125a-1
	运行在以下环境
	系统	debian_12	dokuwiki	*		Up to (excluding) 0.0.20120125a-1
	运行在以下环境
	系统	fedora_EPEL_5	dokuwiki-selinux	*		Up to (excluding) 0-0.14.20121013.el5
	运行在以下环境
	系统	fedora_EPEL_6	dokuwiki-selinux	*		Up to (excluding) 0-0.9.20110525.a.el6
	运行在以下环境
	系统	ubuntu_14.04.6_lts	dokuwiki	*		Up to (excluding) 0.0.20131208-1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	dokuwiki	*		Up to (excluding) 0.0.20131208-1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	dokuwiki	*		Up to (excluding) 0.0.20131208-1
	运行在以下环境
	系统	ubuntu_18.10	dokuwiki	*		Up to (excluding) 0.0.20131208-1

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

越权影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-352	跨站请求伪造（CSRF）

中危 dokuwiki 跨站脚本跨站请求伪造漏洞

漏洞描述

解决建议

参考链接

受影响软件情况