发布日期：2008-07-08
更新日期：2008-07-10

受影响系统：

Adobe RoboHelp Server 7
Adobe RoboHelp Server 6

描述：

---

BUGTRAQ  ID: 30137
CVE(CAN) ID: CVE-2008-2991

Adobe RoboHelp Server软件用于扩展和支持Adobe RoboHelp的功能，为站点和intranet提供帮助系统和知识库。

RoboHelp Server没有正确地过滤某些URL输入便返回给了用户，如果攻击者能够访问RoboHelp帮助错误日志，或诱骗能够访问该日志的用户点击了恶意URL的话，就可以执行跨站脚本攻击。

<*来源：Greg Patton
  
  链接：http://secunia.com/advisories/31001/
        http://www.adobe.com/support/security/bulletins/apsb08-16.html
        http://marc.info/?l=full-disclosure&m=121559737330585&w=2
*>

建议：

---

临时解决方法：

* 阻断对80/TCP和443/TCP端口的不可信任通讯。

厂商补丁：

Adobe
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.adobe.com/support/security/bulletins/downloads/apsb08-16.zip

浏览次数：2432
严重程度：0（网友投票）