Invision Power Board COLOR SML 標籤 XSS
low Nessus Plugin ID 17202
語系:
概要
遠端 Web 伺服器中有一個 PHP 指令碼容易受到跨網站指令碼攻擊。說明
根據標題中的版本號碼來判斷,據報遠端主機上安裝的 Invision Power Board 未充分清理「COLOR」SML 標籤。遠端攻擊者可將含有任意 JavaScript 的特製「COLOR」標籤新增至 Invision 論壇上的任何簽章或貼文,藉以利用此弱點。該 JavaScript 稍後會在使用者瀏覽論壇的環境中執行,攻擊者可藉此竊取 Cookie 或偽造網站內容。此外,據報攻擊者可將任意指令碼注入簽章檔案。不過,Nessus 並未測試這個問題。
解決方案
套用上方供應商公告中所述的修補程式。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 17202
檔案名稱: invision_power_board_color_sml_tag.nasl
版本: 1.25
類型: remote
系列: CGI abuses : XSS
已發布: 2005/2/23
已更新: 2022/4/11
組態: 啟用 Paranoid 模式, 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Low
基本分數: 3.5
時間分數: 3
媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
弱點資訊
CPE: cpe:/a:invisionpower:invision_power_board
必要的 KB 項目: Settings/ParanoidReport, www/invision_power_board
排除在外的 KB 項目: Settings/disable_cgi_scanning
可輕鬆利用: No exploit is required
弱點發布日期: 2005/2/17
參考資訊
CVE: CVE-2005-0477
BID: 12607