中文描述:

Kronolith是美国Horde公司的一套基于Web的日历应用程序，它提供事件跟踪、事项提醒、日历共享等功能。 Kronolith中存在多个HTML注入漏洞，如下： 1) 认证用户可以在名称字段中("Calendar Name")以任意Javascript代码在"My Calendars"目录下创建日历，并将权限更改为系统所有用户都可以访问。如果受害用户点击了"My Calendars"菜单浏览自己的日历，就会出现所有公共的日历，并执行攻击者的脚本代码。 2) 在删除事件时没有正确的验证日历事件的标题字段。Kronolith请求"Delete $title"并未经确认页面的进一步验证便生成$title。在使用共享/公共日历时，用户可以读取和删除其他用户的日历事件。 3) 基本和高级搜索功能未经过滤便生成类和位置字段。攻击者可以公开某一事件并在标题或其他字段中插入常见的搜索字和恶意代码。如果受害用户搜索了该搜索字的话，就会执行插入的脚本代码。 4) 攻击者可以在事件中加入脚本代码做为参加者的邮件地址。由于没有过滤邮件地址，浏览事件就可以导致执行任意代码。 5) 用于编辑日历权限的弹出窗口没有过滤日历的标题，可能导致远程执行代码。

英文描述:

Multiple cross-site scripting (XSS) vulnerabilities in Horde Kronolith H3 before 2.0.6 allow remote authenticated users to inject arbitrary web script or HTML via (1) the Calendar name field when creating calendars, (2) event title field when deleting events, the (3) Category and (4) Location search fields, and the (5) attendees email address fields when editing event attendees, and possibly other vectors.

CWE类型:

标签:

中文解决方案:

英文解决方案:

临时解决方案: