‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[转载]Horde产品search.php模块跨站脚本执行漏洞

睡猫

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛首席贵宾

帖子
829 
精华
6 
积分
8724 
阅读权限
100 
性别
女 
来自
火星 
在线时间
610 小时 
注册时间
2011-7-29 
最后登录
2008-1-17 
楼主 发表于 2006-9-6 00:39  只看该作者

[转载]Horde产品search.php模块跨站脚本执行漏洞

信息来源:绿盟科技

发布日期:2006-08-16
更新日期:2006-08-17

受影响系统:
Horde Horde < 3.1.2
Horde IMP < 4.1.3
不受影响系统:
Horde Horde 3.1.2
Horde IMP 4.1.3
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 19544

Horde是个以PHP为基础的架构,用来创建网络应用程式。

在Horde产品的搜索屏幕中,一些指定的字段存在跨站脚本漏洞:
s
<i>Virtual folder label:</i> <input type="text" id="vfolder_label"
name="vfolder_label" value=""><script>alert(&#39;scipAG&#39;);</script>" />

攻击者可以通过HTTP POST请求注入恶意脚本。

<*来源:Marc Ruef (marc.ruef@computec.ch
  
  链接:http://marc.theaimsgroup.com/?l= ... 007030746&w=2#3
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Horde
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.horde.org

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题