漏洞信息详情
Xoops个人消息系统跨站脚本执行漏洞
- CNNVD编号:CNNVD-200205-038
- 危害等级: 低危
- CVE编号: CVE-2002-0217
- 漏洞类型: 输入验证
- 发布时间: 2002-01-29
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: xoops
- 漏洞来源: Cabezon Aurelien※ ...
漏洞简介
Xoops是一个用面向对象的PHP写的开源、免费的web程序,它用MySQL作为后台数据库,可以运行于大多数的Unix和Linux系统。 Xoops的用户个人消息系统存在跨站脚本执行漏洞,攻击者可能利用此漏洞窃取用户的cookie等信息。。 个人消息系统的标题栏没有很好的过滤脚本代码,当用户收到攻击者发来的个人消息,里面包含的恶意脚本代码将被执行,出现跨站脚本执行问题。这个漏洞可以让攻击者窃取用户基于cookie的认证信息等等。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 修改程序,过滤要显示的Javascript代码。如果修改程序有困难,请暂时停止使用Xoops。 厂商补丁: Xoops ----- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://xoops.sourceforge.net/
参考网址
来源: XF 名称: xoops-pmlite-image-CSS(8030) 链接:http://www.iss.net/security_center/static/8030.php 来源: XF 名称: xoops-private-message-CSS(8025) 链接:http://www.iss.net/security_center/static/8025.php 来源: BUGTRAQ 名称: 20020129 Xoops Private Message System Script injection 链接:http://online.securityfocus.com/archive/1/252828 来源: BID 名称: 3981 链接:http://www.securityfocus.com/bid/3981 来源: BID 名称: 3978 链接:http://www.securityfocus.com/bid/3978
受影响实体
- Xoops Xoops:1.0_rc1
- Xoops Xoops:1.0_rc1
补丁
暂无
评论