漏洞标题
N/A
漏洞描述信息
在2014年9月29日之前,DokuWiki Media Manager中的conf/mime.conf中的默认文件类型白名单配置允许远程攻击者通过上传SWF文件,然后通过媒体参数访问lib/exe/fetch.php中的任意网页脚本或HTML。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The default file type whitelist configuration in conf/mime.conf in the Media Manager in DokuWiki before 2014-09-29b allows remote attackers to execute arbitrary web script or HTML by uploading an SWF file, then accessing it via the media parameter to lib/exe/fetch.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
DokuWiki 跨站脚本漏洞
漏洞描述信息
DokuWiki是德国软件开发者Andreas Gohr所研发的一款基于PHP的Wiki引擎,它主要用于中小团队和个人网站知识库的管理,并提供版本控制、全文检索和权限控制等功能。 DokuWiki 2014-09-29b之前版本的Media Manager中的conf/mime.conf文件的默认文件类型白名单配置存在安全漏洞,该漏洞源于lib/exe/fetch.php脚本没有充分过滤‘media’参数。远程攻击者可通过上传并访问SWF文件利用该漏洞注入任意Web脚本或HTML。
CVSS信息
N/A
漏洞类别
跨站脚本