Leszek Krupinski L-Forum信息头脚本插入漏洞发布时间:2002-08-21 更新时间:2002-08-21 严重程度:中 威胁程度:用户敏感信息泄露 错误类型:输入验证错误 利用方式:客户机模式 BUGTRAQ ID:5462 受影响系统 Leszek Krupinski L-Forum 2.4 .0详细描述 L-Forum 2.4.0存在脚本插入漏洞,上贴到论坛的恶意信息可以包含任意HTML内容,包括Javascript代码。如果这个信息被系统其他用户查看,里面的代码就可以在用户WEB浏览器上执行,导致用户敏感信息泄露。 主要原因是对'From', 'E-mail'和'Subject'各栏内容缺少正确过滤。 测试代码 无 解决方案 补丁下载: Leszek Krupinski L-Forum 2.4 .0: Leszek Krupinski Patch Security patch for L-Forum 2.4.0 http://sourceforge.net/tracker/download.php?group_id=53716&atid=471343&file_id=26687&aid=579278 相关信息 Ulf Harnhammar <ulfh@update.uu.se>. 参考:http://online.securityfocus.com/archive/1/287292 相关主页:http://l-forum.x-php.net/ |
