发布日期:2012-12-16
更新日期:2012-12-19受影响系统:
MyBB User Profile Skype ID 1.x
MyBB User Profile Skype ID 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56967User Profile Skype ID插件可允许用户将其Skype ID放置在其配置文件内。User Profile Skype ID 1.0及其他版本没有验证usercp.php内"skype"参数的合法性,可以导致HTML注入漏洞,远程攻击者可以通过该漏洞在用户浏览器中执行任意脚本代码。<*来源:limb0
链接:http://secunia.com/advisories/51612/
http://www.exploit-db.com/exploits/23425/
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!Proof
Inject:https://imageshack.us/photo/my-images/22/screenshotfrom201212141.png/
Result:https://imageshack.us/photo/my-images/41/screenshotfrom201212141.png/
+-------------------------------------------------------------+建议:
--------------------------------------------------------------------------------
临时解决方法:如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:*禁用User Profile Skype ID插件厂商补丁:MyBB
----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://mods.mybb.com/view/user-profile-skype-idMyBB MyTube插件"mytube.php"HTML注入漏洞WordPress 多个CMSMasters主题"upload.php"任意文件上传漏洞相关资讯 HTML注入漏洞 MyBB安全漏洞
- Symantec Security Information (07/05/2013 16:04:54)
- Django CMS "page_attribute" (01/29/2013 10:18:23)
- MyBB User Profile Skype ID插件" (01/05/2013 08:27:53)
| - TP-Link TL-WA701N和TL-WA701ND目 (03/01/2013 21:04:10)
- Advantech WebAccess HMI/SCADA (01/10/2013 08:07:25)
- MyBB HM_My Country Flags 插件" (12/28/2012 12:15:26)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
|
易网时代-编程资源站