发布日期：2008-12-17
更新日期：2009-01-06

受影响系统：

Apache Apache Roller 4.0
Apache Apache Roller 3.1
Apache Apache Roller 3.0
Apache Apache Roller 2.3

描述：

---

BUGTRAQ  ID: 33110

Apache Roller是一个多用户的群组Blog服务器。

如果通过q参数值向Roller服务器提交了特制的搜索请求（/search?q=query+terms）的话，服务器未经转义HTML标签便在默认的搜索表单中回显查询请求，这可能导致跨站脚本攻击。

<*来源：Hector Manuel Escalona Mendoza
  
  链接：http://secunia.com/advisories/31523/
        https://issues.apache.org/roller/si/jira.issueviews:issue-html/ROL-1766/ROL-1766.html
*>

建议：

---

厂商补丁：

Apache
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://svn.apache.org/viewvc?view=rev&revision=668737

浏览次数：3907
严重程度：0（网友投票）