用于 Joomla! 的 Incapsula 组件“token”参数多个 XSS

medium Nessus 插件 ID 64484

语言：

简介

远程 Web 服务器包含受到多个跨站脚本漏洞影响的 PHP 应用程序。

描述

远程主机上运行的 Joomla! 的 Incapsula 组件版本受到 Security.php 和 Performance.php 脚本中多个跨站脚本 (XSS) 漏洞的影响，这是未正确清理用户为“lang”参数提供的输入，便将其用于生成动态 HTML 内容所致。未经身份验证的远程攻击者可利用此漏洞，在用户的浏览器会话中注入任意 HTML 和脚本代码。

解决方案

升级到 Joomla! 版本 1.4.6_c 或更高版本。

另见

https://www.zeroscience.mk/en/vulnerabilities/ZSL-2013-5121.php

插件详情

严重性: Medium

ID: 64484

文件名: joomla_incapsula_xss.nasl

版本: 1.15

类型: remote

系列: CGI abuses : XSS

发布时间: 2013/2/6

最近更新时间: 2025/5/14

配置: 启用全面检查 (optional)

支持的传感器: Nessus

Enable CGI Scanning: true

漏洞信息

CPE: cpe:/a:joomla:joomla%5c%21

必需的 KB 项: www/PHP, installed_sw/Joomla!

可利用: true

易利用性: Exploits are available

被 Nessus 利用: true

补丁发布日期: 2012/12/20

漏洞发布日期: 2013/1/8

参考资料信息

BID: 57190

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990