影响版本:
Mahara Mahara 1.3.3
Mahara Mahara 1.2.5
Mahara Mahara 1.2.4
Mahara Mahara 1.2.3
Mahara Mahara 1.3.2
Mahara Mahara 1.3.1
Mahara Mahara 1.3.0
Mahara Mahara 1.2.6
Mahara Mahara 1.2.5
Mahara Mahara 1.2.2
Mahara Mahara 1.2.1
Mahara Mahara 1.2.0

漏洞描述:

Mahara是一款开源的电子文件夹,网络日志,履历表生成器和社会化网络系统。
Mahara存在多个输入验证错误,攻击者可以利用漏洞获得敏感信息或劫持目标用户会话。
-应用程序存在跨站请求伪造漏洞,攻击者可以构建恶意链接,诱使管理员访问,删除博客日志。
-通过Pieform选择框选项传递的输入在显示给用户之前缺少正确过滤,可被利用注入任意HTML和脚本代码,导致恶意数据查看时在目标用户浏览器上执行恶意代码。

<*参考
?id=3206
?id=3205
*>
 厂商解决方案
Mahara 1.3.4和1.2.7已经修复此漏洞,建议用户下载使用:
?id=3208