DCP-Portal用户信息跨站脚本执行漏洞

漏洞信息详情

DCP-Portal用户信息跨站脚本执行漏洞

• CNNVD编号：CNNVD-200205-145
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0281
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-02-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-31
  
• 厂        商：
  
  codeworx_technologies
• 漏洞来源：
  Ahmet Sabri ALPER※…

DCP-Portal是种内容管理系统，提供多种基于WEB方式的操作，比如更新站点、成员管理等等。
DCP-Portal存在跨站脚本执行漏洞。
攻击者首先注册一个用户，然后访问http：//www.dcp-portal_host/user_update.php ，修改自己的job info，在此插入任意代码，比如
＜script＞alert(\”ALPERz was here!\”)＜/script＞
当其它用户察看攻击者的个人信息时，这些script脚本就会在用户浏览器中执行。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在user_update.php中过滤HTML标记以及其它恶意代码。
厂商补丁：
DCP-Portal
———-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.dcp-portal.com/” target=”_blank”>
http://www.dcp-portal.com/

来源: XF
名称: dcpportal-userupdate-css(8197)
链接:http://xforce.iss.net/xforce/xfdb/8197

来源: BID
名称: 4112
链接:http://www.securityfocus.com/bid/4112

来源: www.dcp-portal.com
链接:http://www.dcp-portal.com/contents.php?id=18

来源: BUGTRAQ
名称: 20020215 [ARL02-A03] DCP-Portal Cross Site Scripting Vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101379217032525&w=2