动网论坛(DVBBS.PHP)多个跨站漏洞
添加时间:
2010-05-13
系统编号:
WAVDB-01602
影响版本:
Dvbbs Version 2.0++
程序介绍:
解决方案:
厂商补丁:
动网论坛
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://p.dvbbs.net/
信息来源:
<*来源: zhuba.net
连接: http://www.zhuba.net/man/87.html*>
2010-05-13
系统编号:
WAVDB-01602
影响版本:
Dvbbs Version 2.0++
程序介绍:
动网论坛做为动网主要服务产品之一,自2001年投入推广并运营以来,得到了国内外广大互联网用户的广泛好评和支持。做为国内第一的互联网论坛服务品牌,占据了国内论坛服务市场的70%以上的用户,动网论坛服务在一些如电影、下载、网游等热门网站的占有率甚至高达80%以上,是中国论坛服务领域事实上的标准。
漏洞分析:
因程序对用户提交的变量代码未进行有效的过滤或转换,允许攻击者插入恶意WEB代码。
漏洞利用:
http://www.target.com/boardhelp.php?boardid=0">[XSS]
http://www.target.com/forum_savvy.php?boardid=16">[XSS]
http://www.target.com/boardstat.php?boardid=0">[XSS]
解决方案:
厂商补丁:
动网论坛
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://p.dvbbs.net/
信息来源:
<*来源: zhuba.net
连接: http://www.zhuba.net/man/87.html*>