动易(PowerEasy) SiteWeaver "ComeUrl" Cross-Site Scripting Vulnerability

2010-04-28T00:00:00
ID SSV:19522
Type seebug
Reporter Root
Modified 2010-04-28T00:00:00

Description

动易SiteWeaver,它可以被恶意的人利用来进行跨站点脚本攻击漏洞。

输入传递到"ComeUrl"在User/User_ChkLogin.asp中没有正确地处理返回给用户参数。这可以被用来执行在用户在受影响的浏览器会话中任意HTML和脚本代码。

这个安全漏洞在版本6.8报告。其它版本也可能受到影响。

PowerEasy SiteWeaver 6.x SEBUG临时解决办法 对User/User_ChkLogin.asp,"ComeUrl"进行过滤处理

参考官方补丁 http://www.powereasy.net/