OpenBB Image标记跨站脚本执行(CSS/XSS)漏洞

2009-05-20T00:00:00
ID SSV:11373
Type seebug
Reporter Root
Modified 2009-05-20T00:00:00

Description

BugCVE: CVE-2002-0330 BUGTRAQ: 4171

OpenBB对用户输入过滤上存在漏洞,可能使远程攻击者利用在论坛上的发贴对其他用户进行跨站脚本执行攻击。 OpenBB支持用户在贴子中使用[img]标记插入图像,但它未对标记中的内容做充分的过滤,这可能导致攻击者在此标记的内容中放入脚本代码,当用户浏览相关页面时,脚本将在用户的浏览器中执行。攻击者可能借此得到用户基于Cookie的认证信息。

OpenBB 1.0.0 RC2\RC1\beta1 临时解决方法: 如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁: * 在漏洞修复之前暂时关闭Image标记的使用。

厂商补丁: Iansoft


目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: <a href="http://www.openbb.net/" target="_blank" rel=external nofollow>http://www.openbb.net/</a>