发布日期：2002-12-12
更新日期：2002-12-18

受影响系统：

Mambo Mambo Site Server 4.0.11

描述：

---

BUGTRAQ  ID: 6386
CVE(CAN) ID: CVE-2002-1662

Mambo Site Server是一款免费开放源代码WEB内容管理工具，由PHP编写。

Mambo Site Server在帐号注册过程中没有对用户输入中可能出现HTML标记进行充分过滤，远程攻击者可能利用此漏洞进行跨站脚本执行攻击。

攻击者可能在提交给"Your Name"表单的参数串中插入任意的HTML标记或某些恶意的脚本代码，当其他用户查看攻击者相关的信息时，可能导致跨站脚本执行。

<*来源：euronymous （just-a-user@yandex.ru）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103971063106168&w=2
*>

建议：

---

厂商补丁：

Mambo
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Mambo Mambo Site Server 4.0.11:
Mambo Upgrade mamboV4.0.12-BETA.tar.gz
http://freshmeat.net/redir/mambo/15020/url_tgz/mamboV4.0.12-BETA.tar.gz

浏览次数：2761
严重程度：0（网友投票）