xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

PostCalendar 3.0存在跨站脚本可执行漏洞


发布时间:2002-04-23
更新时间:2002-04-23
严重程度:
威胁程度:用户敏感信息泄露
错误类型:输入验证错误
利用方式:服务器模式

BUGTRAQ ID:4563

受影响系统
PostCalendar Development Team PostCalendar 3.0
   - Francisco Burzi PHP-Nuke 5.5
   - PostNuke Development Team PostNuke
   - PostNuke Development Team PostNuke
详细描述
PostCalendar 3.0是为PHP-NUKE提供交互日历的程序。

由于没有对用户输入数据进行HTML过滤,可导致在事件列表中插入脚本代码,当其他用户浏览时脚本代码在浏览器上执行,并导致COOKIE等信息泄露。

提交一个普通文本的事件,进行预览处理并在此增加HTML或者脚本。

测试代码
尚无

解决方案
PostCalendar Development Team PostCalendar 3.0:

PostCalendar Development Team Patch PostCalendar-3.02-patch.tar.gz
http://www.bahraini.tv/modules.php?op=modload&name=Downloads&file=index&req=getit&lid=86

相关信息
gcsb <gcsbnz@yahoo.com>.
相关主页:http://www.alyousif.tv/cal
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved