iScripts EasyCreate “vuser_name” 脚本注入漏洞

文章由LinuxBoy分享于2019-04-02 07:04:43热评（283）

iScripts EasyCreate “vuser_name” 脚本注入漏洞

发布日期：2012-06-15
更新日期：2012-06-18

受影响系统：
iscripts iScripts EasyCreate 2.x
描述：
--------------------------------------------------------------------------------
iScripts EasyCreate是在线网站构建工具，可用在服务器上为客户端提供网站构建服务，属于完全可以定制的。

iScripts EasyCreate v2.0 CMS在实现上存在多个Web安全漏洞，通过 "vuser_name" 参数传递到editprofile.php ("act"设置为"post")的输入没有正确过滤即被使用，可被利用插入任意HTML和脚本代码，然后在受害者查看恶意数据时，在浏览器会话中执行这些代码。

<*来源：Ibrahim El-Sayed

链接：http://www.vulnerability-lab.com/get_content.php?id=588
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

iscripts
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.iscripts.com/easycreate

推荐文章：

WordPress WP SlimStat 插件“s”脚本注入漏洞

iScripts EasyCreate “vuser_name” 脚本注入漏洞