txtForum多个跨站脚本攻击漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1195746 漏洞类型 跨站脚本
发布时间 2006-03-13 更新时间 2006-03-14
CVE编号 CVE-2006-1204 CNNVD-ID CNNVD-200603-239
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200603-239
|漏洞详情
txtForum1.0.4-dev及其早期版本中存在多个跨站脚本攻击(XSS)漏洞,远程攻击者可通过以下途径注入任意Web脚本或HTML:在(a)index.php中的(1)prev,(2)next,和(3)rand5参数;在(b)new_topic.php中的(4)r_username和(5)r_loc参数;在(b)new_topic.php中的(6)r_num,(7)r_family_name,(8)r_icq,(9)r_yahoo,(10)r_aim,(11)r_homepage,(12)r_interests,(13)r_about,(14)selected1,(15)selected0,(16)signature_selected1,(17)signature_selected0,(18)smile_selected1,(19)smile_selected0,(20)ubb_selected1,和(21)ubb_selected0参数;在(d)reply.php中的(22)quote和(23)tid参数;和在(e)view_topic.php中的(24)tid,(25)sticked,和(26)mid参数。
|参考资料

来源:BUGTRAQ
名称:20060309txtForum:MultipleXSSVulnerabilities
链接:http://www.securityfocus.com/archive/1/archive/1/427186/100/0/threaded
来源:MISC
链接:http://www.seclab.tuwien.ac.at/advisories/TUVSA-0603-003.txt
来源:XF
名称:txtforum-multiple-xss(25132)
链接:http://xforce.iss.net/xforce/xfdb/25132
来源:BID
名称:17054
链接:http://www.securityfocus.com/bid/17054
来源:OSVDB
名称:23957
链接:http://www.osvdb.org/23957
来源:OSVDB
名称:23956
链接:http://www.osvdb.org/23956
来源:OSVDB
名称:23955
链接:http://www.osvdb.org/23955
来源:OSVDB
名称:23954
链接:http://www.osvdb.org/23954
来源:OSVDB
名称:23953
链接:http://www.osvdb.org/23953