WeBid 跨站脚本漏洞

漏洞信息详情

WeBid 跨站脚本漏洞

• CNNVD编号：CNNVD-201407-318
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-5101
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2014-07-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-07-28
  
• 厂        商：
  
  webidsupport
• 漏洞来源：
  Govind Singh

WeBid是一套开源的拍卖网站建站解决方案。

WeBid 1.1.1中存在跨站脚本漏洞。远程攻击者可通过当程序执行first操作时，register.php脚本中的多个参数（包括：TPL_name，TPL_nick，TPL_email，TPL_year，TPL_address，TPL_city，TPL_prov，TPL_zip，TPL_phone，TPL_pp_email，TPL_authnet_id，TPL_authnet_pass，TPL_worldpay_id，TPL_toocheckout_id，TPL_moneybookers_email）或者当程序执行操作时，user_login.php脚本中的username参数利用该漏洞注入任意Web脚本或HTML。

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

http://www.webidsupport.com/

来源:BID

链接:http://www.securityfocus.com/bid/68519

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/127431/WeBid-1.1.1-Cross-Site-Scripting-LDAP-Injection.html