漏洞关键信息 漏洞标题 [waraxe-2012-SA#087] - Reflected XSS in Joomla 1.5.26 "ja_purity" template 发布日期 03. May 2012 漏洞概述 Joomla 1.5.26 版本中的"ja_purity"模板存在反射型XSS漏洞。 受影响版本 Joomla 1.5.26 及可能更旧的版本。 漏洞细节 原因: 没有正确编码用户提供的HTML数据。 攻击向量: 用户提供的cookie参数。 前提条件: 必须使用"ja_purity"模板。 结果: 存在XSS攻击的可能。 示例代码片段 披露时间线 20.04.2012: 通过邮件联系开发者,无响应。 24.04.2012: 提交CVE标识符请求。 25.04.2012: 获得CVE标识符CVE-2012-2413。 26.04.2012: 第二次尝试通过邮件联系开发者,无响应。 03.05.2012: 公布公告。 联系方式 come2waraxe@yahoo.com Janek Vind "waraxe" Waraxe 论坛: http://www.waraxe.us/forums.html 个人主页: http://www.janevind.com/ 随机项目: http://albumnow.com/