我們正在使用Sitecore 6.5並且已收到XSS漏洞警報:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-100004。除了升級到Sitecore 7之外,我找不到任何解決方案,所以我想在這裏問一下,以防有人知道另一種方式。我們正在計劃升級,但由於網站的複雜性和所做的某些自定義設置,它還有很長的路要走。在升級之前我們是否堅持了這個漏洞?此外,這會影響CM和CD還是CM?有些信息似乎表明它主要是CM的漏洞。我們已經將CM和CD分開使用兩臺不同的服務器,並且我們甚至爲每臺服務器分配了不同的數據庫用戶,以便將權限最小化爲僅限於每臺服務器所需的權限。Sitecore 6.5 XML控制腳本插入漏洞
正如其他人所建議的;你真的需要考慮升級項目。除非您使用Sitecore購買特殊支持訂閱,否則Sitecore 6不會得到官方支持。這就是說...
您提到的這個漏洞並不意味着它會影響CM--至少在默認配置中不會。你有沒有測試過這個?嘗試一些漏洞文檔中列出的示例。
http://www.securityfocus.com/archive/1/archive/1/530901/100/0/threaded
如果你確實可以重現你都CM和CD服務器上的問題,有可能是,刪除從CD配置目標子系統解決方法。這是我的猜測 - 所以確保你測試和重新測試。
<control template="xmlcontrol" type="Sitecore.Web.UI.XmlControlRenderingType, Sitecore.Kernel" propertyMap="controlName=control name, properties=parameters"/>
在您的配置中找到它並將其從CD中刪除。如果它解決了問題,至少應該設置臨時解決方法。您的CM Box可能無法在禁用時運行,因此現在您必須將其屏蔽在防火牆後面。無論如何,好的做法。
我建議你用Sitecore支持提出一張票,如果你還沒有這樣做的話。 – jammykam
我建議你從6.5升級。一個安全漏洞就是這個漏洞,並且正在適用於6.5:https://kb.sitecore.net/articles/020736 –
我已經通知了我們的內部安全團隊,並希望在短期內得到他們或產品支持的回覆。 我強烈建議您在此問題上提出支持憑單。 –