Prospero Message Board跨站脚本执行漏洞

漏洞信息详情

Prospero Message Board跨站脚本执行漏洞

• CNNVD编号：CNNVD-200212-670
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1733
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-02-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  prospero_technologies
• 漏洞来源：
  Tim Morgan

Prospero Message Boards是一个基于web的信息系统，提供社区和论坛的功能。
Prospero Message Boards没有过滤JavaScript命令。
如果提交到Prospero论坛的HTML格式的消息包含有JavaScript命令，当其他用户浏览时，脚本的命令将会执行，从而引起一系列的跨站脚本执行攻击。
Prospero使用了cookie来做用户验证，所以这个漏洞可能用来劫取用户帐号。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 普通用户关闭浏览器的JavaScript功能可以防止这个漏洞。
厂商补丁：
Prospero Technologies
———————
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.prospero.com/” target=”_blank”>
http://www.prospero.com/

来源: XF
名称: prospero-html-msg-css(8184)
链接:http://xforce.iss.net/xforce/xfdb/8184

来源: www.sentinelchicken.com
链接:http://www.sentinelchicken.com/advisories/prospero/

来源: BID
名称: 4109
链接:http://www.securityfocus.com/bid/4109

来源：NSFOCUS
名称：2323
链接：http://www.nsfocus.net/vulndb/2323