GTD-PHP多个输入验证漏洞

漏洞信息详情

GTD-PHP多个输入验证漏洞

• CNNVD编号：CNNVD-200603-433
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-1479
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2006-03-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-03-29
  
• 厂        商：
  
  serge_rey
• 漏洞来源：
  Jericho is credite…

在Serge Rey gtd-php (又称\”完成活计\”) 0.5中存在多个跨站脚本攻击(XSS)漏洞，远程攻击者可通过以下途径注入任意web和HTML：在(1) newProject.php，(2) newList.php，和(3) newWaitingOn.php中的描述字段；在(4) newProject.php，(5) newList.php，(6) newWaitingOn.php，(7) newChecklist.php，(8) newContext.php，和(9) newGoal.php中的Title字段；在newCategory.php中的(10) Category Name字段；在listReport.php中的(11) listTitle字段；在projectReport.php中的(12) projectName字段；和在checklistReport.php中的(13) checklistTitle字段。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

gtd-php gtd-php 0.5

gtd-php gtd-php 0.8 beta

https://www.hosted-projects.com/trac/toae/gtdphp/changeset/latest/branches/installv08?old_path=%2F&format=zip

来源: OSVDB

名称: 24158

链接:http://www.osvdb.org/24158

来源: OSVDB

名称: 24157

链接:http://www.osvdb.org/24157

来源: OSVDB

名称: 24156

链接:http://www.osvdb.org/24156

来源: OSVDB

名称: 24155

链接:http://www.osvdb.org/24155

来源: OSVDB

名称: 24154

链接:http://www.osvdb.org/24154

来源: OSVDB

名称: 24153

链接:http://www.osvdb.org/24153

来源: OSVDB

名称: 24152

链接:http://www.osvdb.org/24152

来源: OSVDB

名称: 24151

链接:http://www.osvdb.org/24151

来源: OSVDB

名称: 24150

链接:http://www.osvdb.org/24150

来源: OSVDB

名称: 24149

链接:http://www.osvdb.org/24149

来源: MISC

链接:http://osvdb.org/ref/24/24149-gtd-php.txt

来源: XF

名称: gtdphp-multiple-scripts-xss(25553)

链接:http://xforce.iss.net/xforce/xfdb/25553

来源: BID

名称: 17366

链接:http://www.securityfocus.com/bid/17366

来源: VUPEN

名称: ADV-2006-1203

链接:http://www.frsirt.com/english/advisories/2006/1203

来源: SECUNIA

名称: 19512

链接:http://secunia.com/advisories/19512