PHP-Nuke附件PHPToNuke.PHP跨站脚本执行漏洞

漏洞信息详情

PHP-Nuke附件PHPToNuke.PHP跨站脚本执行漏洞

• CNNVD编号：CNNVD-200212-601
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1995
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-01-06
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  lebios
• 漏洞来源：
  frog frog※ leseulf…

phptonuke.php是一个PHP-Nuke附加脚本，用于把一段PHP脚本插入到一个PHP-Nuke站点，程序由Lebios维护。
phptonuke.php存在跨站脚本执行漏洞，可以使攻击者在被攻击者的浏览器上下文执行脚本。
攻击者可能利用phptonuke.php创建一个含有脚本代码的链接，当用户访问这个链接时，脚本会在用户机器浏览器上在当前用户环境下执行。攻击者可能利用这个问题劫持基于Cookie验证的用户会话。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在浏览器中设置禁止Java脚本及活动脚本的执行。
厂商补丁：
Lebios
——
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpnuke.org/” target=”_blank”>
http://www.phpnuke.org/

来源: BID
名称: 3807
链接:http://www.securityfocus.com/bid/3807

来源: XF
名称: phpnuke-phptonuke-css(7837)
链接:http://www.iss.net/security_center/static/7837.php

来源: VULN-DEV
名称: 20020106 CSS in PHPNuke add-on
链接:http://archives.neohapsis.com/archives/vuln-dev/2002-q1/0048.html

来源：NSFOCUS
名称：2123
链接：http://www.nsfocus.net/vulndb/2123