phpWebSite搜索模塊發現跨站腳本執行漏洞

發佈日期：2008-01-01

更新日期：2008-01-02

受影響系統：

Appalachian State Universit phpWebSite 1.4.0

描述：

BUGTRAQ ID: 27090

phpWebSite是一款網站內容管理系統（CMS）。

phpWebSite的實現上存在輸入驗證漏洞，遠程攻擊者可能利用此漏洞在用戶瀏覽器中執行惡意代碼。

phpWebSite的搜索模塊沒有正確地轉義用戶輸入便在搜索結果頁面中生成鏈接，這允許攻擊者通過提交惡意搜索請求執行跨站腳本攻擊。

Appalachian State Universit：目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟體的用戶隨時關注廠商的主頁以獲取最新版本：http://phpwebsite.appstate.edu/

（