漏洞信息详情

MySpace Poll Creator index.php HTML代码注入漏洞

• CNNVD编号：CNNVD-200711-380
• 危害等级： 中危
  
• CVE编号： CVE-2007-6136
• 漏洞类型： 跨站脚本
• 发布时间： 2007-11-27
• 威胁类型： 远程
• 更新时间： 2007-11-27
• 厂        商： m2scripts
• 漏洞来源： Doz DoZ@HackersCen...

漏洞简介

MySpace是是全球最大的社区交友网站，该网站所使用的Poll Creator脚本是用于创建投票的工具。

MySpace在处理用户请求参数时存在漏洞，远程攻击者可能利用此漏洞在用户浏览器中执行恶意代码。

如果将action设置为create_new的话，MySpace的Poll Creator脚本中的index.php文件就无法正确地验证title、intro、question、answer等参数的输入。当用户查看恶意数据时，就会注入任意HTML和脚本代码并在用户浏览器会话中执行。

漏洞公告

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://m2scripts.com/myspace-scripts/poll-creator.php

参考网址

来源: BID

名称: 26544

链接:http://www.securityfocus.com/bid/26544

来源: BUGTRAQ

名称: 20071122 MySpace Scripts - Poll Creator Javascript Injection Vulnerability

链接:http://www.securityfocus.com/archive/1/archive/1/484073/100/0/threaded

来源: SECUNIA

名称: 27778

链接:http://secunia.com/advisories/27778

来源: OSVDB

名称: 38800

链接:http://osvdb.org/38800

来源: XF

名称: myspace-scripts-poll-index-xss(38633)

链接:http://xforce.iss.net/xforce/xfdb/38633

受影响实体

• M2scripts My_space_scripts_poll_creator:0  

补丁

暂无