微点交流论坛

标题: GWExtranet 信息泄漏和脚本注入漏洞 [打印本页]

作者: pioneer 时间: 2007-11-27 11:31 标题: GWExtranet 信息泄漏和脚本注入漏洞

来源

secunia.com

软件名

GWExtranet 3.x

描述

这可恶意泄漏敏感信息和恶意进行脚本注入攻击

1)通过组合模块的特定输入在使用前没有准确过滤，这可在用户浏览器浏览受影响包含恶意代码的网页时，执行任意HTML和脚本代码。

2)gwextranet/scp.dll特定模块(例如 sendto, nbfile)中输入的"file" 和 "template"参数在用来包含文件前没有被准确过滤，这可通过目录遍历攻击来从本地资源中包含任意文件。

解决方案

通过代理来过滤恶意字符和字符次序

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn