FireStats window-add-excluded-ip.php「edit」參數 XSS
medium Nessus Plugin ID 47746
語言:
概要
遠端 Web 伺服器託管的 Web 應用程式受到跨網站指令碼弱點影響。說明
遠端主機上安裝的 FireStats 版本無法正確清理使用者向「window-add-excluded-ip.php」指令碼之「edit」參數提供的輸入。未經驗證的遠端攻擊者可利用此弱點,在使用者的瀏覽器中執行任意指令碼。
請注意,此 FireStats 版本可能受到其他多個指令碼中的跨網站指令碼問題影響;但 Nessus 尚未針對這些弱點進行測試。
解決方案
升級至 1.6.6 版或更新版本。另請參閱
http://www.nessus.org/u?caf07989
https://downloads.securityfocus.com/vulnerabilities/exploits/41548.txt
Plugin 詳細資訊
嚴重性: Medium
ID: 47746
檔案名稱: firestats_excluded_ip_edit_xss.nasl
版本: 1.16
類型: remote
系列: CGI abuses : XSS
已發布: 2010/7/16
已更新: 2025/5/14
支援的感應器: Nessus
Enable CGI Scanning: true
弱點資訊
CPE: cpe:/a:edgewall:firestats
必要的 KB 項目: www/PHP, installed_sw/FireStats
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2010/7/16
弱點發布日期: 2010/7/9
參考資訊
BID: 41548