 |
L-BLOG V1.08(SE FINAL)-V1.10 AIO跨站漏洞 |
|
|
| L-BLOG V1.08(SE FINAL)-V1.10 AIO跨站漏洞 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-25 11:00:32 |
|
L-BLOG V1.08(SE FINAL)-V1.10 AIO跨站漏洞
漏洞发现:H4K_B4N[B.C.T]<bnsoyy(at)hotmail.com>
漏洞发布:Bug.Center.Team Http://www.cnbct.org/
厂商名字:Loveyuke’S Blog
厂商地址:http://www.loveyuki.com/
漏洞程序:L-BLOG V1.08(SE最新版本)-L-BLOG V1.10 AIO
漏洞类型:CSS XSS
影响版本:V1.08(SE FINAL)-V1.10 AIO
程序介绍:
L-BLOG程序是以ASP+ACCESS的网络博客程序,因简单易用被广大用户所使用,至今已经是V 1.10版本了.
漏洞资料:
因为L-BLOG V1.08 SE FINAL的网络书签以及申请连接页面没有做好过滤导致跨站脚本漏洞攻击的产生,漏洞存在页面Bloglinks.asp...
V 1.10 AIO版本也是申请连接处存在以上漏洞.导致用户可以得到管理员的COOKIE信息.
漏洞测试:
注册一个新的用户,然后在"网络书签"和"申请连接"处的提交跨站脚本,当管理员登录Admincp.asp时会激活脚本从而泄漏管理员的COOKIE信息(加密密码以及账号)
暂无升级补丁.
厂商补丁
Loveyuki
http://www.loveyuki.com/
摘自:NEEA0’s Blog 【转自世纪安全网 http://www.21safe.com】
|
|
| 新闻录入:admin 责任编辑:admin |
|
|
上一篇新闻: 小型FTP服务器软件 SunFTP 漏洞
下一篇新闻: finalwebsites Access_user Class 1.6 处理帐号存在绕过认证漏洞 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
