漏洞类型:

跨站脚本攻击(XSS)

所属建站程序:

帝国cms

所属服务器类型:

通用

所属编程语言:

PHP

描述:

帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出

危害:

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。

解决方案:

修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中

TranFile.php
TranFlash.php
TranImg.php
TranMedia.php

这个四个文件

$InstanceName=$_GET['InstanceName'];

改为

$InstanceName=htmlspecialchars($_GET['InstanceName']);


相关专题
点击这里复制本文地址

以上内容由qqso网站教程网整理呈现.
原文地址:帝国cms编辑器跨站漏洞发布于2021-08-16 18:00:09。
请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!