多款Stylite EGroupware产品跨站请求伪造漏洞 CVE-2014-2987 CNNVD-201406-590 CNVD-2014-03008

6.8 AV AC AU C I A
发布: 2014-10-26
修订: 2018-10-09

Stylite EGroupware是德国Stylite公司的一套基于PHP的团队协作软件。该软件包括电子邮件(IMAP/POP3)、通讯录、文档管理、书签等模块。 多款Stylite EGroupware产品中存在跨站请求伪造漏洞,该漏洞源于程序执行admin.uiaccounts.add_user action操作时index.php脚本没有充分过滤用户输入;程序执行admin.uiconfig.index操作时index.php脚本没有充分过滤‘newsettings’参数。远程攻击者可利用该漏洞创建管理员账户或修改设置。以下产品和版本受到影响:EGroupware Enterprise Line (EPL) 1.1.20140505之前版本,EGroupware Community Edition 1.8.007.20140506之前版本,EGroupware 14.1之前版本。

0%
当前有3条漏洞利用/PoC
当前有2条受影响产品信息