发布日期：2013-02-04
更新日期：2013-02-05

受影响系统：

ATutor ATutor 2.0.3

描述：

---

BUGTRAQ  ID: 51423
CVE(CAN) ID: CVE-2012-6528

AContent是支持导入、导出、制作IMS内容软件包的电子学习内容创造工具和库。

ATutor 2.1之前版本存在多个XSS漏洞，可允许远程攻击者通过向 (1) themes/default/tile_search/index.tmpl.php, (2) login.php, (3) search.php, (4) password_reminder.php, (5) login.php/jscripts/infusion, (6) login.php/mods/_standard/flowplayer, (7) browse.php/jscripts/infusion/framework/fss, (8) registration.php/themes/default/ie_styles.css, (9) about.php, (10) themes/default/social/basic_profile.tmpl.php传参PATH_INFO，注入任意Web脚本或HTML。

<*来源：Stefan Schurtz
  
  链接：http://secunia.com/advisories/47597
        http://xforce.iss.net/xforce/xfdb/72412
*>

建议：

---

厂商补丁：

ATutor
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://atutor.ca/

浏览次数：3905
严重程度：0（网友投票）