漏洞信息详情
DCP-Portal用户信息跨站脚本执行漏洞
- CNNVD编号:CNNVD-200205-145
- 危害等级: 中危
- CVE编号:
CVE-2002-0281
- 漏洞类型:
输入验证
- 发布时间:
2002-02-15
- 威胁类型:
远程
- 更新时间:
2006-08-31
- 厂 商:
codeworx_technologies - 漏洞来源:
Ahmet Sabri ALPER※… -
漏洞简介
DCP-Portal是种内容管理系统,提供多种基于WEB方式的操作,比如更新站点、成员管理等等。
DCP-Portal存在跨站脚本执行漏洞。
攻击者首先注册一个用户,然后访问http://www.dcp-portal_host/user_update.php ,修改自己的job info,在此插入任意代码,比如
<script>alert(\”ALPERz was here!\”)</script>
当其它用户察看攻击者的个人信息时,这些script脚本就会在用户浏览器中执行。
漏洞公告
临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 在user_update.php中过滤HTML标记以及其它恶意代码。
厂商补丁:
DCP-Portal
———-
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dcp-portal.com/” target=”_blank”>
http://www.dcp-portal.com/
参考网址
来源: XF
名称: dcpportal-userupdate-css(8197)
链接:http://xforce.iss.net/xforce/xfdb/8197
来源: BID
名称: 4112
链接:http://www.securityfocus.com/bid/4112
来源: www.dcp-portal.com
链接:http://www.dcp-portal.com/contents.php?id=18
来源: BUGTRAQ
名称: 20020215 [ARL02-A03] DCP-Portal Cross Site Scripting Vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101379217032525&w=2