低危 Smarty up to 2.6.3 跨站脚本攻击

CVE编号

CVE-2012-4437

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-10-01
漏洞描述
3.1.12之前的Smarty(又称为 Smarty-php)中SmartyException类中的跨站点脚本(XSS)漏洞允许远程攻击者通过触发Smarty异常的未指定向量注入任意Web脚本或HTML。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://advisories.mageia.org/MGASA-2014-0468.html
http://code.google.com/p/smarty-php/source/browse/trunk/distribution/change_log.txt
http://code.google.com/p/smarty-php/source/detail?r=4658
http://jvn.jp/en/jp/JVN63650108/index.html
http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000094.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-September/088138.html
http://secunia.com/advisories/50589
http://www.mandriva.com/security/advisories?name=MDVSA-2014:221
http://www.openwall.com/lists/oss-security/2012/09/19/1
http://www.openwall.com/lists/oss-security/2012/09/20/3
http://www.securityfocus.com/bid/55506
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 smarty smarty 1.0 -
运行在以下环境
应用 smarty smarty 1.0a -
运行在以下环境
应用 smarty smarty 1.0b -
运行在以下环境
应用 smarty smarty 1.1.0 -
运行在以下环境
应用 smarty smarty 1.2.0 -
运行在以下环境
应用 smarty smarty 1.2.1 -
运行在以下环境
应用 smarty smarty 1.2.2 -
运行在以下环境
应用 smarty smarty 1.3.0 -
运行在以下环境
应用 smarty smarty 1.3.1 -
运行在以下环境
应用 smarty smarty 1.3.2 -
运行在以下环境
应用 smarty smarty 1.4.0 -
运行在以下环境
应用 smarty smarty 1.4.1 -
运行在以下环境
应用 smarty smarty 1.4.2 -
运行在以下环境
应用 smarty smarty 1.4.3 -
运行在以下环境
应用 smarty smarty 1.4.4 -
运行在以下环境
应用 smarty smarty 1.4.5 -
运行在以下环境
应用 smarty smarty 1.4.6 -
运行在以下环境
应用 smarty smarty 1.5.0 -
运行在以下环境
应用 smarty smarty 1.5.1 -
运行在以下环境
应用 smarty smarty 1.5.2 -
运行在以下环境
应用 smarty smarty 2.0.0 -
运行在以下环境
应用 smarty smarty 2.0.1 -
运行在以下环境
应用 smarty smarty 2.1.0 -
运行在以下环境
应用 smarty smarty 2.1.1 -
运行在以下环境
应用 smarty smarty 2.2.0 -
运行在以下环境
应用 smarty smarty 2.3.0 -
运行在以下环境
应用 smarty smarty 2.3.1 -
运行在以下环境
应用 smarty smarty 2.4.0 -
运行在以下环境
应用 smarty smarty 2.4.1 -
运行在以下环境
应用 smarty smarty 2.4.2 -
运行在以下环境
应用 smarty smarty 2.5.0 -
运行在以下环境
应用 smarty smarty 2.6.0 -
运行在以下环境
应用 smarty smarty 2.6.1 -
运行在以下环境
应用 smarty smarty 2.6.10 -
运行在以下环境
应用 smarty smarty 2.6.11 -
运行在以下环境
应用 smarty smarty 2.6.12 -
运行在以下环境
应用 smarty smarty 2.6.13 -
运行在以下环境
应用 smarty smarty 2.6.14 -
运行在以下环境
应用 smarty smarty 2.6.15 -
运行在以下环境
应用 smarty smarty 2.6.16 -
运行在以下环境
应用 smarty smarty 2.6.17 -
运行在以下环境
应用 smarty smarty 2.6.18 -
运行在以下环境
应用 smarty smarty 2.6.2 -
运行在以下环境
应用 smarty smarty 2.6.20 -
运行在以下环境
应用 smarty smarty 2.6.22 -
运行在以下环境
应用 smarty smarty 2.6.24 -
运行在以下环境
应用 smarty smarty 2.6.25 -
运行在以下环境
应用 smarty smarty 2.6.26 -
运行在以下环境
应用 smarty smarty 2.6.3 -
运行在以下环境
应用 smarty smarty 2.6.4 -
运行在以下环境
应用 smarty smarty 2.6.5 -
运行在以下环境
应用 smarty smarty 2.6.6 -
运行在以下环境
应用 smarty smarty 2.6.7 -
运行在以下环境
应用 smarty smarty 2.6.9 -
运行在以下环境
应用 smarty smarty 3.0.0 -
运行在以下环境
应用 smarty smarty 3.0.1 -
运行在以下环境
应用 smarty smarty 3.0.2 -
运行在以下环境
应用 smarty smarty 3.0.3 -
运行在以下环境
应用 smarty smarty 3.0.4 -
运行在以下环境
应用 smarty smarty 3.0.5 -
运行在以下环境
应用 smarty smarty 3.0.6 -
运行在以下环境
应用 smarty smarty 3.0.7 -
运行在以下环境
应用 smarty smarty 3.1 -
运行在以下环境
应用 smarty smarty 3.1.0 -
运行在以下环境
应用 smarty smarty 3.1.1 -
运行在以下环境
应用 smarty smarty 3.1.10 -
运行在以下环境
应用 smarty smarty 3.1.11 -
运行在以下环境
应用 smarty smarty 3.1.12 -
运行在以下环境
应用 smarty smarty 3.1.2 -
运行在以下环境
应用 smarty smarty 3.1.3 -
运行在以下环境
应用 smarty smarty 3.1.4 -
运行在以下环境
应用 smarty smarty 3.1.5 -
运行在以下环境
应用 smarty smarty 3.1.6 -
运行在以下环境
应用 smarty smarty 3.1.7 -
运行在以下环境
应用 smarty smarty 3.1.8 -
运行在以下环境
应用 smarty smarty 3.1.9 -
运行在以下环境
系统 debian_10 smarty3 * Up to
(excluding)
3.1.10-2
运行在以下环境
系统 debian_11 smarty3 * Up to
(excluding)
3.1.10-2
运行在以下环境
系统 debian_12 smarty3 * Up to
(excluding)
3.1.10-2
运行在以下环境
系统 debian_6 smarty * Up to
(excluding)
2.6.26-0.2+squeeze1
运行在以下环境
系统 fedora_EPEL_5 php-Smarty * Up to
(excluding)
2.6.27-1.el5
运行在以下环境
系统 ubuntu_14.04.6_lts smarty3 * Up to
(excluding)
3.1.10-2
运行在以下环境
系统 ubuntu_16.04.7_lts smarty3 * Up to
(excluding)
3.1.10-2
阿里云评分
2.9
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    普通权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)
阿里云安全产品覆盖情况