微点交流论坛

标题: WebGUI用户名脚本可被注入 [打印本页]

作者: pioneer 时间: 2008-2-22 09:22 标题: WebGUI用户名脚本可被注入

来源

secunia.com

软件名

WebGUI 7.x

描述

这可恶意进行跨站脚本攻击
在创建新用户时传递的参数在储存前没有被准确过滤，这可在管理员用户使用浏览器浏览包含恶意数据的网页时，注入任意HTML和脚本代码。

成功执行需要受害人具有管理员权限

该漏洞在V7.4.23中已经报告，之前的其它版本也可能受到影响

解决方案

更新到V7.4.24.

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn