帝国cms编辑器跨站漏洞 - 帝国cms教程
时间:2023-08-08 16:33
浏览:0
评论:0
漏洞类型:
跨站脚本攻击(XSS)
所属建站程序:
帝国CMS
所属服务器类型:
通用
所属编程语言:
PHP
描述:
帝国CMS编辑器中存在xss跨站,$InstanceName参数外部获取直接输出
危害:
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。
解决方案:
修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中
TranFile.php
TranFlash.php
TranImg.php
TranMedia.php
这个四个文件
$InstanceName=$_GET['InstanceName'];
改为
$InstanceName=htmlspecialchars($_GET['InstanceName']);
1. 本站所有资源来源于用户上传或网络,仅作为参考研究使用,如有侵权请邮件联系站长!
2. 本站积分货币获取途径以及用途的解读,想在本站混的好,请务必认真阅读!
3. 本站强烈打击盗版/破解等有损他人权益和违法作为,请各位会员支持正版!
4. 帝国CMS > 帝国cms编辑器跨站漏洞 - 帝国cms教程
2. 本站积分货币获取途径以及用途的解读,想在本站混的好,请务必认真阅读!
3. 本站强烈打击盗版/破解等有损他人权益和违法作为,请各位会员支持正版!
4. 帝国CMS > 帝国cms编辑器跨站漏洞 - 帝国cms教程
