漏洞信息详情
Powie PForum Username跨站执行脚本漏洞
- CNNVD编号:CNNVD-200206-088
- 危害等级: 高危
- CVE编号: CVE-2002-0319
- 漏洞类型: 输入验证
- 发布时间: 2002-02-22
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: powie
- 漏洞来源: Jens Liebchen※ sec...
漏洞简介
Powie PForum是采用PHP和MySQL实现的WWW论坛,可运行于绝大多数Unix/Linux变体以及微软Windows操作系统。 PForum易受跨站执行脚本攻击。 尽管作者试图过滤来自URL请求的恶意代码,但它忘记检查username参数了。比如攻击者设法使受害者访问如下URL [email protected]&pwd=test&pwd2=test&filled=1\" target=\"_blank\">http://www.server.com/pforum/edituser.php?boardid=&agree=1&username=\\%3Cscript\\%3Ealert(document.cookie)\\%3C/script\\%3E&nickname=test&[email protected]&pwd=test&pwd2=test&filled=1 其中的Java Script代码得到执行。这种办法潜在导致合法用户用于身份验证的cookie被非法窃取。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 没有合适的临时解决方法,请升级到软件的新版本。 厂商补丁: Powie ----- 目前厂商已经在1.15版本的软件中修复了这个安全问题,请到厂商的主页下载:
http://www.powie.de/pm/pmagic.php?pmagic=pforum
参考网址
来源: BID 名称: 4165 链接:http://www.securityfocus.com/bid/4165 来源: XF 名称: pforum-username-CSS(8263) 链接:http://www.iss.net/security_center/static/8263.php 来源: BUGTRAQ 名称: 20020222 pforum: cross-site-scripting bug 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101446366708757&w=2
受影响实体
- Powie Pforum:1.14
- Powie Pforum:1.12
- Powie Pforum:1.13
- Powie Pforum:1.11
补丁
暂无
评论