发布日期：2014-03-10
更新日期：2014-03-14

受影响系统：

Zikula Zikula Application Framework 1.3.6 build 28

描述：

---

CVE(CAN) ID: CVE-2014-2293

Zikula Application Framework是开源的应用框架。

Zikula Application Framework 1.3.6 build 28版本在实现上存在安全漏洞，可被恶意利用篡改某些数据或控制受影响系统。

1、当 "module" 设置为 "users", "func" 设置为 "register", "csrftoken" 设置为有效值, "registration_info" 设置为有效值时，没有正确过滤index.php的"authentication_method_ser"及"authentication_info_ser" POST参数值，即将其用于调用 "unserialize()" 函数。

成功利用该漏洞需要启用用户注册。

2、没有正确过滤index.php内的"zikulaMobileTheme" cookie参数值，即将其用于调用 /lib/util/SecurityUtil.php 脚本内的 "unserialize()" 函数。

<*来源：Egidio Romano
  
  链接：http://secunia.com/advisories/56274/
*>

建议：

---

厂商补丁：

Zikula
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://zikula.org/


Zikula:
http://community.zikula.org/index.php?module=News&func=display&sid=3138

浏览次数：3077
严重程度：0（网友投票）