添加时间:
2005-08-14

系统编号:
WAVDB-00233
BUGTRAQ: 6386

影响版本:
Mambo Site Server 4.0.11

程序介绍:

Mambo Site Server是一款免费开放源代码WEB内容管理工具，由PHP编写。

漏洞分析:

Mambo Site Server在帐号注册过程中没有对用户输入中可能出现HTML标记进行充分过滤，远程攻击者可能利用此漏洞进行跨站脚本执行攻击。
攻击者可能在提交给 Your Name 表单的参数串中插入任意的HTML标记或某些恶意的脚本代码，当其他用户查看攻击者相关的信息时，可能导致跨站脚本执行。


解决方案:
厂商补丁：
Mambo
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
Mambo Mambo Site Server 4.0.11:
Mambo Upgrade mamboV4.0.12-BETA.tar.gz
http://freshmeat.net/redir/mambo ... V4.0.12-BETA.tar.gz

信息来源:
<*来源：euronymous （just-a-user@yandex.ru）
链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103971063106168&w=2
*>