[翻译]SparkleBlog被用户获得管理权限和站际脚本攻击

翻译：Z.C.Y[B.C.T]
翻译网站：http://www.bnso.net/
安全公告：1012908
资料来源：http://securitytracker.com/id?1012908
CVE 参考：GENERIC-MAP-NOMATCH
发布日期：2005-1-15
发布作者：<bugtracklist@freemail.hu>
漏洞危害：泄露验证信息，泄露系统信息，泄露用户信息，执行任意代码，修改用户信息，获得用户权限
漏洞利用程序包含：是
已于2005-1-1通知厂商
厂商地址：creamed-coconut.org/sparkleblog.php
漏洞原因：输入合法性错误
影响系统：Linux (Any), UNIX (Any), Windows (Any)


漏洞描述：SparkleBlog的漏洞导致远程用户获得管理权限，能决定安装路径或者实行站际脚本攻击。
Kovacs Laszlo发现远程用户可以直接在&#39;admin&#39;目录下发送脚本请求。
示例如下：
[target]/admin/blogadmin.php
[target]/admin/cpconfig.php
[target]/admin/editentries.php
[target]/admin/update.php

&#39;journal.php&#39;对用户提交给&#39;id&#39;参数的数据过滤不严，远程用户可以精心构造一个URL，当目标用户登陆这个地址时，就会在该用户的浏览器中执行任意代码。
这个代码来源于运行SparkleBlog软件的站点并且在这个站点运行。结果，目标用户的cookies（包括验证信息），任何与这个站点有关的信息，目标
用户向这个站点提交的数据，或者目标用户在站点上的处理都能被代码获得。

提供如下测试方法：
[target]/journal.php?id=document.write(unescape(%22%3CSCRIPT%3Ealert(document.domain);%3C/SCRIPT%3E%3CSCRIPT%3Ealert(document.co okie);%3C/SCRIPT%3E%22));

远程用户提交一个精心构造的URL可以导致系统泄露安装路径。
提供如下测试方法：
[target]/blog/journal.php?id=&#39;

[target]/blog/archives.php?id=&#39;

解决方法：目前厂商还没有提供补丁或者升级程序
厂商网站介绍用户应该用网站服务器权限控制管理目录。