发布日期：2002-02-10
更新日期：2002-02-21

受影响系统：

Prospero Technologies Message Boards

描述：

---

BUGTRAQ  ID: 4109
CVE(CAN) ID: CVE-2002-1733

Prospero Message Boards是一个基于web的信息系统，提供社区和论坛的功能。

Prospero Message Boards没有过滤JavaScript命令。

如果提交到Prospero论坛的HTML格式的消息包含有JavaScript命令，当其他用户浏览时，脚本的命令将会执行，从而引起一系列的跨站脚本执行攻击。

Prospero使用了cookie来做用户验证，所以这个漏洞可能用来劫取用户帐号。

<*来源：Tim Morgan
  
  链接：http://www.sentinelchicken.com/advisories/prospero/index.php?PRINTABLE=true
        http://www.cert.org/advisories/CA-2000-02.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 普通用户关闭浏览器的JavaScript功能可以防止这个漏洞。

厂商补丁：

Prospero Technologies
---------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.prospero.com/

浏览次数：3129
严重程度：0（网友投票）