storytlr "search"跨站脚本漏洞

2014-03-10T00:00:00
ID SSV:61713
Type seebug
Reporter Root
Modified 2014-03-10T00:00:00

Description

storytlr是一款博客平台。

由于通过"search"参数传递到index.php/search/的输入在protected/application/public/controllers/SearchController.php中被返回用户前未能正确过滤,攻击者可以利用漏洞在受影响站点上下文的用户浏览器会话中执行任意HTML和脚本代码。 0 storytlr 1.2 目前厂商暂无提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://storytlr.org/