Anthill存在跨站脚本(CSS/XSS)执行漏洞

2011-2-17 9:34:29 来源:网络转载 浏览:131
Anthill存在跨站脚本(CSS/XSS)执行漏洞
影响版本:
Anthill 0.1.6.1

程序介绍:

Anthill是一款基于PHP开发的程序缺陷跟踪系统,可使用在Linux,unix或者Microsoft windows操作系统下。

漏洞分析:

Anthill系统对用户输入处理缺少充分的检查,可导致攻击者进行跨站脚本执行攻击。

Anthill系统中几乎所有信息可提交处都没有过滤HTML,JavaScript标记,攻击者可以在任意地方提交恶意JavaScript代码,当浏览用户查看包含恶意代码的链接时,就可以导致恶意代码在浏览用户浏览器上执行,导致基于Cookie的认证信息被泄露等攻击。

解决方案:
临时解决方法:
如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:
* 严格过滤用户输入的HTML标记。

厂商补丁:
Anthill

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://anthill.vmlinuz.ca/

(0)
(0)