CPAN WWW::Form模块HTML注入漏洞

漏洞信息详情

CPAN WWW::Form模块HTML注入漏洞

• CNNVD编号：CNNVD-200412-143
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-2332
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-01-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  cpan
• 漏洞来源：
  Shlomi Fish※ shlom…

WWW：：Form是一款简单和容易扩展的允许开发者处理HTML表单确认验证的模块。
CPAN WWW：：Form部分代码由于不充分过滤用户提供的数据，远程攻击者可以利用这个漏洞进行HTML注入攻击，可能获得用户的敏感信息。
部分代码由于不充分过滤数据，可造成跨站脚本执行攻击。攻击者可以构建恶意链接，诱使用户访问，可使恶意HTML脚本在用户浏览器上执行。

厂商补丁：
CPAN
—-
WWW::Form 1.13不存在此问题：

http://search.cpan.org/dist/WWW-Form/Form.pm” target=”_blank”>
http://search.cpan.org/dist/WWW-Form/Form.pm

来源: XF
名称: wwwform-xss(14985)
链接:http://xforce.iss.net/xforce/xfdb/14985

来源: SECUNIA
名称: 10751
链接:http://secunia.com/advisories/10751

来源: BID
名称: 9526
链接:http://www.securityfocus.com/bid/9526

来源: www.securiteam.com
链接:http://www.securiteam.com/unixfocus/5IP0L2KBPM.html

来源：NSFOCUS
名称：5977
链接：http://www.nsfocus.net/vulndb/5977