发布日期：2011-07-27
更新日期：2011-07-27

受影响系统：

Samba Samba 3.x

描述：

---

BUGTRAQ  ID: 48901
CVE ID: CVE-2011-2694

Samba是一套实现SMB（Server Messages Block）协议、跨平台进行文件共享和打印共享服务的程序。SWAT（Samba Web Administration Tool）是基于Web的Samba服务管理工具。

SWAT在实现上存在请求伪造漏洞，远程攻击者可利用此漏洞执行请求伪造攻击。

发送到SWAT的"Change password"页的"user"字段的输入在返回给用户之前没有正确过滤。可被利用执行任意HTML和脚本代码。

<*来源：Yoshihiro Ishikawa
        Nobuhiro Tsuji
  
  链接：http://www.samba.org/samba/security/CVE-2011-2522
        http://www.samba.org/samba/security/CVE-2011-2694
        http://www.samba.org/samba/history/samba-3.5.10.html
*>

建议：

---

厂商补丁：

Samba
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.samba.org/

浏览次数：2339
严重程度：0（网友投票）