CVE-2008-1502 — wordpress - regression fix

描述

The _bad_protocol_once function in phpgwapi/inc/class.kses.inc.php in KSES, as used in eGroupWare before 1.4.003, Moodle before 1.8.5, and other products, allows remote attackers to bypass HTML filtering and conduct cross-site scripting (XSS) attacks via a string containing crafted URL protocols.

如何修補 CVE-2008-1502

要修補 CVE-2008-1502,請將受影響套件升級到下列已修補版本。

Debian/wordpress—升級至 2.5.0-1 或更新版本
Debian/wordpress—升級至 2.0.10-1etch4 或更新版本
Debian/wordpress—升級至 2.0.10-1etch5 或更新版本
—升級至 1.8.5 或更新版本

CVE-2008-1502 正在被利用嗎?

低 — EPSS 為 1.2%,目前沒有觀察到大規模利用活動。

受影響套件(4)

from 0, < 2.5.0-1
from 0, < 2.0.10-1etch4
from 0, < 2.0.10-1etch5
from 0, < 1.8.5

參考連結(23)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2008-1502
ADVISORYsecurity-tracker.debian.org/tracker/CVE-2008-1502
PATCHgithub.com/moodle/moodle
WEBdocs.moodle.org/en/Release_Notes#Moodle_1.8.5
WEB