作者:俺是胖墩墩_499 | 来源:互联网 | 2017-11-11 22:24
统错误报告页面存在跨站脚本漏洞影响版本:PHPCMSALLVERSION程序介绍:PHPCMS是一款基于PHP+Mysql架构的网站内容管理系统,也是一个开源的PHP开发平台。Phpcms采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。
统错误报告页面存在跨站脚本漏洞
影响版本:
PHPCMS ALL VERSION
程序介绍:
PHPCMS是一款基于 PHP+Mysql 架构的网站内容管理系统,也是一个开源的 PHP 开发平台。Phpcms 采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案。3年来,凭借 Phpcms 团队长期积累的丰富的Web开发及数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近10万网站的认可,并且越来越多地被应用到大中型商业网站
漏洞分析:
程序当中的/error_report/error_report.php页面没有进行严格的过滤导致跨站脚本攻击产生
漏洞利用:
[XSS">http://www.xiaoweio.cn/error_report/error_report.php?title=1&cOntentid=1">[XSS]<"
解决方案:
临时解决方案:
error_report.php
$info[''error_link''] = htmlspecialchars($info[''error_link'']);
厂商补丁:
PHPCMS
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpcms.cn/