检测

X2Engine < 3.7.4 多个漏洞

medium Nessus 插件 ID 81514

语言:

简介

远程 Web 服务器包含受到多个漏洞影响的 PHP 应用程序。

描述

根据其版本号,远程 Web 服务器上安装的 X2Engine 应用程序版本低于 3.7.4。因此,它可能受到多种漏洞的影响:

 - “/index.php/profile/getEvents”脚本的“lastEventId”和“lastTimestamp”HTTP GET 参数中存在多个 SQL 注入漏洞。

 - “/index.php/contacts/create”脚本的“Contacts[firstName]”、“Contacts[website]”、“Contacts[company]”和“Contacts[interest]”HTTP POST 参数,
 以及“/index.php/docs/create”脚本的“Docs [name]” HTTP POST 参数中存在多个跨站脚本 (XSS) 漏洞。

 - 由于“/index.php/media/ajaxUpload”脚本未正确验证用户上传的文件,存在任意文件上传漏洞。

 - “/index.php/media/ajaxUpload”脚本的“CKEditorFuncNum”HTTP POST 参数中存在基于 DOM 的跨站脚本 (XSS) 漏洞。

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号。

解决方案

升级至 3.7.4 或更高版本。

另见

http://www.nessus.org/u?7ee9a12b

http://www.nessus.org/u?410174a0

http://community.x2crm.com/index.php

https://github.com/X2Engine/X2CRM/blob/master/CHANGELOG.md

插件详情

严重性: Medium

ID: 81514

文件名: x2engine_3_7_4.nasl

版本: 1.10

类型: remote

系列: CGI abuses

发布时间: 2015/2/25

最近更新时间: 2025/5/14

配置: 启用偏执模式, 启用全面检查 (optional)

支持的传感器: Nessus

Enable CGI Scanning: true

漏洞信息

CPE: cpe:/a:x2engine:x2crm

必需的 KB 项: www/PHP, Settings/ParanoidReport, installed_sw/X2Engine

易利用性: No known exploits are available

补丁发布日期: 2014/3/4

漏洞发布日期: 2014/2/27

参考资料信息

BID: 65887