OpenX admin/plugin-index.php跨站脚本执行漏洞

文章由LinuxBoy分享于2019-04-02 05:04:28热评（475）

OpenX admin/plugin-index.php跨站脚本执行漏洞

发布日期：2012-10-10
更新日期：2012-10-26

受影响系统：
OpenX OpenX 2.8.10
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 55860
CVE ID: CVE-2012-4989

OpenX是用PHP编写的开源广告服务器。

OpenX 2.8.10及其他版本在admin/plugin-index.php的实现上存在安全漏洞，利用这些漏洞可允许攻击者通过info操作内的parent参数注入任意Web脚本或HTML。

<*来源：High-Tech Bridge
*>

测试方法：
--------------------------------------------------------------------------------

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/www/admin/plugin-index.php?

action=info&amp;group=vastInlineBannerTypeHtml&amp;parent=%22%3E%3C script%3Ealert%28document.cookie

%29;%3C/script%3E [XSS]

建议：
--------------------------------------------------------------------------------
厂商补丁：

OpenX
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.openx.org/

推荐文章：

OpenX admin/plugin-index.php跨站脚本执行漏洞