添加时间:
2005-08-11

系统编号:
WAVDB-00144
BUGTRAQ: 4109

影响版本:
Prospero Message Boards

程序介绍:

Prospero Message Boards是一个基于web的信息系统，提供社区和论坛的功能。

漏洞分析:

Prospero Message Boards没有过滤JavaScript命令。
如果提交到Prospero论坛的HTML格式的消息包含有JavaScript命令，当其他用户浏览时，脚本的命令将会执行，从而引起一系列的跨站脚本执行攻击。
Prospero使用了cookie来做用户验证，所以这个漏洞可能用来劫取用户帐号。


解决方案:
临时解决方法：
如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：
* 普通用户关闭浏览器的JavaScript功能可以防止这个漏洞。

厂商补丁：
Prospero Technologies
---------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.prospero.com/

信息来源:
<*来源：Tim Morgan
链接：http://www.sentinelchicken.com/a ... .php?PRINTABLE=true
http://www.cert.org/advisories/CA-2000-02.html
*>