PHPB2B存储型跨站(可打管理员和任意用户)

简要描述： PHPB2B v5.0.2对字段过滤不严格导致存储型跨站，可嵌入任意脚本文件，攻击管理员和任意用户。 详细说明： 1、phpB2B对用户发布供求信息模块，没有进行有效过滤，存在漏洞的字段包括主题、包装说明、价格说明等等。攻击者可以插入恶意代码，后台管理员审核用户供求信息时，漏洞触发，审核过程中，管理员并不会发现任何恶意代码，审核一旦成功，其它任何用户浏览供求信息时，便会触发漏洞。 通杀所有浏览器。 漏洞证明： 1、以发布供求信息主题字段为例进行说明。 2、用户进入商务室进行发布供求信息 3、在主题字段嵌入如下恶意代码： 4、管理员审核用户供求信息，进入审核页面时，漏洞便可触发...