我们正在使用Sitecore 6.5,并且已收到有关XSS漏洞的警告:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-100004。除了升级到Sitecore 7之外,我找不到任何解决方案,所以我想在这里问一下,以防有人知道另一种方式。我们计划升级,但由于网站的复杂性和某些自定义设置,它还有很长的路要走。在升级之前我们是否遇到此漏洞?此外,这会影响CM和CD,还是仅影响CM?一些信息似乎表明它主要是CM的漏洞。我们将CM和CD分开使用两个不同的服务器,我们甚至为每个服务器分别拥有不同的数据库用户,以便最大限度地减少每个服务器所需的权限。
答案 0 :(得分:1)
正如其他人所说;你真的需要考虑升级项目。除非您通过Sitecore购买特殊支持订阅,否则Sitecore 6不受官方支持。那说......
您提到的漏洞并未向我表明它只会影响CM - 至少在默认配置中不会。你测试过这个吗?尝试一下漏洞文档中列出的一些示例。
http://www.securityfocus.com/archive/1/archive/1/530901/100/0/threaded
如果您确实可以在CM和CD服务器上重现问题,可能会有一种解决方法,从CD配置中删除目标子系统。这是我的猜测 - 所以确保你测试并重新测试。
<control template="xmlcontrol" type="Sitecore.Web.UI.XmlControlRenderingType, Sitecore.Kernel" propertyMap="controlName=control name, properties=parameters"/>
在您的配置中找到它并将其删除(从CD)。如果它解决了问题,那么您至少需要设置临时解决方法。您的CM盒可能无法使用此禁用功能,因此您现在必须将其屏蔽在防火墙后面。无论如何都是好习惯。