PostNuke < 0.760 RC4 多個指令碼 XSS
low Nessus Plugin ID 18006
語系:
概要
遠端 Web 伺服器中有一個 PHP 指令碼容易遭受跨網站指令碼攻擊。說明
遠端主機上安裝的 PostNuke 版本未正確清理「user.php」指令碼的「op」參數和「admin.php」指令碼的「module」參數中的使用者輸入資料,便將其用於動態產生的內容。攻擊者可利用此缺陷,將任意 HTML 和指令碼注入不知情使用者的瀏覽器,進而導致工作階段 Cookie 等洩漏。解決方案
升級至 0.760 RC4 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 18006
檔案名稱: postnuke_op_and_module_xss.nasl
版本: 1.26
類型: remote
系列: CGI abuses : XSS
已發布: 2005/4/8
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Low
基本分數: 2.6
時間分數: 2.3
媒介: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
弱點資訊
CPE: cpe:/a:postnuke_software_foundation:postnuke
必要的 KB 項目: www/postnuke
排除在外的 KB 項目: Settings/disable_cgi_scanning
可輕鬆利用: No exploit is required
弱點發布日期: 2005/4/8
參考資訊
CVE: CVE-2005-1049