发布日期：2011-08-04
更新日期：2011-08-04

受影响系统：

telligent Telligent Systems Telligent Community 5.x
telligent Telligent Systems Community Server 2007

描述：

---

BUGTRAQ  ID: 49025

Community是Telligent使用ASP.NET平台(C#)和Microsoft SQL Server数据库开发的社区合作Web应用程序。

Community在BBCode标签的处理上存在HTML注入漏洞，远程攻击者可利用此漏洞在受影响浏览器中执行HTML和脚本代码，窃取Cookie身份验证凭证或控制网站外观。

<*来源：Advisories PontoSec
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

将用户签名设置为[img]invalid.jpg[url= onerror=alert(1) z=] a[/url][/img]

会在用户提交的每个主题和配置文件中显示警告。

建议：

---

厂商补丁：

telligent
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://telligent.com/

浏览次数：2241
严重程度：0（网友投票）