微点交流论坛

标题: VisionProject多个跨站攻击漏洞 [打印本页]

作者: pioneer 时间: 2007-8-8 11:08 标题: VisionProject多个跨站攻击漏洞

来源

secunia.com

软件名

VisionProject 3.x

描述

这漏洞可被恶意用来进行跨站脚本攻击
在返回用户前在EditProjectIssue.do中的参数"projectIssueId",
ProjectSelected.do的参数"projectId", ProjectDocuments.do的参数"folderId",
和ProjectIssues.do的参数"sortField"不能被准确的过滤，使得被影响的网站文本可以在用户浏览器会话中执行任意HTML和脚本代码。
在V3.1中已经报告，其它版本可能也受到影响。

解决方案

过滤网页代理中的恶意字符和字符排序
不要点击不可信的资源。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn