发布日期：2008-01-01
更新日期：2008-01-02

受影响系统：

Appalachian State Universit phpWebSite 1.4.0

描述：

---

BUGTRAQ  ID: 27090

phpWebSite是一款网站内容管理系统（CMS）。

phpWebSite的实现上存在输入验证漏洞，远程攻击者可能利用此漏洞在用户浏览器中执行恶意代码。

phpWebSite的搜索模块没有正确地转义用户输入便在搜索结果页面中生成链接，这允许攻击者通过提交恶意搜索请求执行跨站脚本攻击。

<*来源：Audun Larsen （larsen@xqus.com）
  
  链接：http://marc.info/?l=bugtraq&m=119920833531657&w=2
        http://secunia.com/advisories/28303/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://phpwebsite.example.com/index.php?module=search&user=search&search=%22%3E%3Ch1%3EXSS%3C%2Fh1%3E&alternate=local&mod_title=all&submit=Search

建议：

---

厂商补丁：

Appalachian State Universit
---------------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://phpwebsite.appstate.edu/

浏览次数：3352
严重程度：0（网友投票）