动网论坛(DVbbs) PHPaspsky 2.0 多处存在跨站漏洞
来源:岁月联盟
时间:2010-05-13
影响版本:
DVbbs PHPaspsky 2.0
漏洞描述:
动网论坛做为目前国内最大的社区论坛软件服务提供商,依靠其强大的功能、非凡的访问速度和负载能力、友好方便的客户操作界面、优质的客户服务、国内领先的技术和强大而持续的产品研发并保持不断创新的能力,动网所提供的动网社区论坛产品已经占据了国内社区论坛产品使用比例的70%以上。
因程序对用户提交的变量代码未进行有效的过滤或转换,允许攻击者插入恶意WEB代码。此版本新存在三处跨站漏洞。
<*参考
http://syue.com/Hacker/Research/14495.html
*>
测试方法:
demo1:http://www.syue.com/boardhelp.php?boardid=0">[XSS]
demo2:http://www.syue.com/forum_savvy.php?boardid=16">[XSS]
demo3:http://www.syue.com/boardstat.php?boardid=0">[XSS]
安全建议:
厂商补丁:
动网论坛(dvbbs)
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dvbbs.net
