DCP-Portal用户信息跨站脚本执行漏洞

漏洞信息详情

DCP-Portal用户信息跨站脚本执行漏洞

漏洞简介

DCP-Portal是种内容管理系统,提供多种基于WEB方式的操作,比如更新站点、成员管理等等。
DCP-Portal存在跨站脚本执行漏洞。
攻击者首先注册一个用户,然后访问http://www.dcp-portal_host/user_update.php ,修改自己的job info,在此插入任意代码,比如
<script>alert(\”ALPERz was here!\”)</script>
当其它用户察看攻击者的个人信息时,这些script脚本就会在用户浏览器中执行。

漏洞公告

临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 在user_update.php中过滤HTML标记以及其它恶意代码。
厂商补丁:
DCP-Portal
———-
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.dcp-portal.com/” target=”_blank”>
http://www.dcp-portal.com/

参考网址

来源: XF
名称: dcpportal-userupdate-css(8197)
链接:http://xforce.iss.net/xforce/xfdb/8197

来源: BID
名称: 4112
链接:http://www.securityfocus.com/bid/4112

来源: www.dcp-portal.com
链接:http://www.dcp-portal.com/contents.php?id=18

来源: BUGTRAQ
名称: 20020215 [ARL02-A03] DCP-Portal Cross Site Scripting Vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101379217032525&w=2

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享