|
| phpadsnew和phppgads存在输入验证漏洞 |
| 来源:网络 时间:2006-4-23 |
|
漏洞信息
phpadsnew和phppgads是一款基于web的新闻和广告管理程序。
phpadsnew和phppgads不充分过滤用户输入数据,远程攻击者可以利用漏洞进行跨站脚本攻击,可获得目标用户敏感信息。
问题是管理接口多个脚本对参数缺少过滤,可导致跨站脚本问题。另外表单对发送的查询字符串也缺少过滤,可导致相同问题,诱使用户访问可获得目标用户敏感信息。
bugtraq id: 17251
cncan id:cncan-2006032807
漏洞消息时间:2006-03-28
漏洞起因
输入验证问题
影响系统
phppgads phppgads 2.0.7
phpadsnew phpadsnew 2.0.7
不受影响系统
phppgads phppgads 2.0.8
phpadsnew phpadsnew 2.0.8
危害
远程攻击者可以利用漏洞进行跨站脚本攻击,可获得目标用户敏感信息。
攻击所需条件
攻击者必须访问phpadsnew和phppgads。
厂商解决方案
升级程序:
phppgads phppgads 2.0.7
phppgads phppgads-2.0.8.tar.gz
http://prdownloads.sourceforge.net/phppgads/phppgads-2.0.8.tar.gz?down load
phpadsnew phpadsnew 2.0.7
phpadsnew phpadsnew-2.0.8.tar.gz
http://prdownloads.sourceforge.net/phpadsnew/phpadsnew-2.0.8.tar.gz?do wnload
漏洞提供者
matteo beccati
漏洞消息链接
http://marc.theaimsgroup.com/?l=bugtraq&m=114347302100517&w=2
漏洞消息标题
[phpadsnew-sa-2006-001] phpadsnew and phppgads 2.0.8 fix multiple
|
|
|
|
|
