CuteNews管理系统多个跨站脚本及PHP代码注入漏洞

CuteNews管理系统多个跨站脚本及PHP代码注入漏洞 受影响系统：
CutePHP CuteNews 1.4.6

描述：
Cutenews是一款功能强大的新闻管理系统，使用平坦式文件存储。

Cutenews的index.php文件没有正确地验证对mod参数的输入便返回给了用户，这允许安全者执行跨站脚本安全；此外在阻断IP地址时没有正确的验证对add_ip参数的输入便储存在了data/ipban.db.php文件中，这可能导致注入并执行任意PHP代码。成功利用这个漏洞要求管理权限且禁用了.htaccess文件支持。

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：www.CutePHP.com