PHP-Fusion多个跨站脚本攻击漏洞

CNNVD-ID编号	CNNVD-200602-097
CVE编号	CVE-2006-0593
发布时间	2006-02-07
更新时间	2006-02-08
漏洞类型	跨站脚本
漏洞来源	saxible is credited with the discovery of these vulnerabilities.
危险等级	中危
威胁类型	远程
厂商	php_fusion

漏洞介绍

PHP-Fusion 6.00.304之前的版本中存在跨站脚本攻击(XSS)漏洞。远程攻击者可以借助(1)shoutbox_panel.php中的shout_name 字段和(2)comments_include.php中的comments字段注入任意Web脚本或HTML。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

PHP-Fusion PHP-Fusion 6.0 303

PHP-Fusion php-fusion-6.00.304.zip

PHP-Fusion 6.00.304 fixing PHP-Fusion 6.00.303

http://ovh.dl.sourceforge.net/sourceforge/php-fusion/php-fusion-6.00.304.zip

来源: VUPEN

名称: ADV-2006-0463

链接：http://www.frsirt.com/english/advisories/2006/0463
来源: www.php-fusion.co.uk

链接：http://www.php-fusion.co.uk/news.php?readmore=307
来源: XF

名称: phpfusion-multiple-xss(24548)

链接：http://xforce.iss.net/xforce/xfdb/24548
来源: BID

名称: 16548

链接：http://www.securityfocus.com/bid/16548
来源: www.php-fusion.co.uk

链接：http://www.php-fusion.co.uk/downloads.php?cat_id=3
来源: OSVDB

名称: 22981

链接：http://www.osvdb.org/22981
来源: OSVDB

名称: 22980

链接：http://www.osvdb.org/22980