添加时间:
2010-05-08

系统编号:
WAVDB-01591
BugCVE: CVE-2010-1453
BUGTRAQ: 39144

影响版本:
Piwik < 0.6

程序介绍:

Piwik是一款利用Php+MySQL技术构建的开源网页访问统计系统。

漏洞分析:

Piwik没有正确地过滤提交给index.php页面的form_url参数便返回给了用户，攻击者诱骗用户跟随恶意的登录URL链接就可以执行反射式跨站脚本攻击，导致在用户浏览器会话中执行任意HTML和脚本代码。

解决方案:
厂商补丁：
Piwik
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://piwik.org/latest.zip

信息来源:
<*来源：garwga

链接：http://secunia.com/advisories/39666/
http://piwik.org/blog/2010/04/piwik-0-6-security-advisory/
*>