漏洞标题
N/A
漏洞描述信息
Zikula 1.3.0 Build #3168 以及可能是之前版本存在 XSS 漏洞,由于通过设置默认、修改和删除主题未进行正确 sanitization,导致 'themename' 参数受到污染。具有 Zikula 管理员权限的远程攻击者可以利用此漏洞在受影响网站上下文中执行任意 HTML 或 Web 脚本代码。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Zikula 1.3.0 build #3168 and probably prior has XSS flaw due to improper sanitization of the 'themename' parameter by setting default, modifying and deleting themes. A remote attacker with Zikula administrator privilege could use this flaw to execute arbitrary HTML or web script code in the context of the affected website.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Zikula 跨站脚本漏洞
漏洞描述信息
Zikula是一套开源的内容管理系统(CMS)。 Zikula 1.3.0 build #3168版本(之前版本可能也受影响)中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
CVSS信息
N/A
漏洞类别
跨站脚本