DCP-Portal门户网站多个跨站脚本攻击漏洞
| CNNVD-ID编号 | CNNVD-200603-171 | CVE编号 | CVE-2006-1120 |
| 发布时间 | 2006-03-09 | 更新时间 | 2006-03-10 |
| 漏洞类型 | 跨站脚本 | 漏洞来源 | Nenad Jovanovic of Technical University of Vienna is credited with the discovery of these vulnerabilities. |
| 危险等级 | 低危 | 威胁类型 | 远程 |
| 厂商 | codeworx_technologies | ||
漏洞介绍
DCP-Portal 6.1.1及其早期版本中存在多个跨站脚本攻击(XSS)漏洞,当register_globals有效时,远程攻击者可以通过以下途径注入任意Web脚本或 HTML:(1)在文件页中的 its_url参数和(2)在(a)index.php的send_write页中的url参数;(3)主题,和(4)在(b)calendar.php中的图像参数;(5)出价,(6)replying_msg,(7)主题,(8)正文,和(9)在(c)forums.php中的mid参数;(10)主题和(11)在(d)inbox.php中的短信参数;(12)subject_color和(13)在(e)lostpassword.php中的邮件参数;和(14)c_name,(15)content_inicial,和(16)在(f) mycontents.php中的cid参数。注:calendar.php/day向量已并入CVE-2006-0220中,和calendar.php/month,calendar.php/year,和calendar.php的search.php/q 参数已并入CVE-2004-2511中。
漏洞补丁
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本.
参考网址
来源: BUGTRAQ
名称: 20060309 DCP Portal: Multiple XSS Vulnerabilities
链接:http://www.securityfocus.com/archive/1/archive/1/427175/100/0/threaded
来源: MISC
链接:http://www.seclab.tuwien.ac.at/advisories/TUVSA-0603-001.txt
来源: XF
名称: dcpportal-multiple-scripts-xss(25279)
链接:http://xforce.iss.net/xforce/xfdb/25279
来源: BID
名称: 17050
链接:http://www.securityfocus.com/bid/17050
来源: OSVDB
名称: 23981
来源: OSVDB
名称: 23980
来源: OSVDB
名称: 23979
来源: OSVDB
名称: 23978
来源: OSVDB
名称: 23977
来源: OSVDB
名称: 23976
受影响实体
Codeworx_technologies Dcp-Portal:3.7 Codeworx_technologies Dcp-Portal:4.0 Codeworx_technologies Dcp-Portal:4.1 Codeworx_technologies Dcp-Portal:4.2 Codeworx_technologies Dcp-Portal:4.5.1信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200603-171
评论