SiteServer CMS多处跨站漏洞
来源:岁月联盟
时间:2010-05-05
影响版本:
SiteServer CMS 3.3.9
漏洞描述:
SiteServer CMS 是基于微软.NET 平台开发的网站内容管理系统,它集成了内容发布管理、多站点管理、定时内容采集、定时生成、多服务器发布、搜索引擎优化、流量统计等多项强大功能,独创的 STL 模板语言,通过Dreamweaver 可视化插件能够任意编辑页面显示样式,生成纯静态页面。
1.注册页面为过滤用户提交非法参数导致跨站,插入跨站语句即可:
demo:http://demo.siteserver.cn/usercenter/register.aspx?ReturnUrl=%22%3E%3Ciframe%20src=%22http://www.syue.com%22%3E
2.进入用户管理节目后,个人签名以及空间描述插入跨站语句均可导致跨站漏洞
<*参考
全球档案 http://www.syue.com
*>
安全建议:
等待官方补丁