pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#1 VisionProject多个跨站攻击漏洞
来源
secunia.com
软件名
VisionProject 3.x
描述
这漏洞可被恶意用来进行跨站脚本攻击
在返回用户前在EditProjectIssue.do中的参数"projectIssueId",
ProjectSelected.do的参数"projectId", ProjectDocuments.do的参数"folderId",
和ProjectIssues.do的参数"sortField"不能被准确的过滤,使得被影响的网站文本可以在用户浏览器会话中执行任意HTML和脚本代码。
在V3.1中已经报告,其它版本可能也受到影响。
解决方案
过滤网页代理中的恶意字符和字符排序
不要点击不可信的资源。
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|