添加时间:
2008-10-04

系统编号:
WAVDB-01161
BUGTRAQ: 28957

影响版本:
MiniBB 2.2a

程序介绍:

MiniBB（Minimalistic Bulletin Board）是一个线性的可定制电子布告栏程序。

漏洞分析:

MiniBB的bb_admin.php文件中没有正确地过滤对whatus参数的输入便返回给了用户，这允许攻击者通过提交恶意HTTP请求导致在用户浏览器会话中执行任意HTML和脚本代码。

漏洞利用:

http://example/bb_admin.php?action=searchusers2&whatus=" /> [XSS]&searchus=id

解决方案:
厂商补丁：
MiniBB
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.minibb.net/authors.html

信息来源:
<*来源：IRCRASH
链接：http://secunia.com/advisories/30004/
*>