CVE-2002-1829
CVSS4.3
发布时间 :2002-12-31 00:00:00
修订时间 :2016-10-17 22:27:33
NMC    

[原文]Cross-site scripting (XSS) vulnerability in codeparse.php in Open Bulletin Board (OpenBB) 1.0.0 RC3 allows remote attackers to inject arbitrary web script or HTML via (1) myhome.php, (2) an onerror attribute in an IMG tag (a variant of CVE-2002-0330), or (3) a glow tag.


[CNNVD]OpenBB BBCode可插入HTML代码漏洞(CNNVD-200212-441)

        
        OpenBB是一款由PHP编写的WEB论坛程序,可使用在Unix和Linux操作系统下,也可使用在Microsoft Windows 操作系统下。
        OpenBB在处理'BBCodes'字段中的数据缺少正确充分的检查,可导致远程攻击者进行HTML插入攻击。
        OpenBB可以使用'BBCodes'代替HTML代码支持图象,链接操作,但是OpenBB对用户提交给'BBCodes'字段的数据缺少正确检查,可导致攻击者插入任意HTML代码到'BBCodes'字段并显示在论坛信息中,当论坛用户浏览此包含恶意代码的链接时,就可以使脚本代码在浏览用户浏览器上执行,攻击者获得用户基于COOKIE认证的敏感信息。
        

- CVSS (基础分值)

CVSS分值: 4.3 [中等(MEDIUM)]
机密性影响: [--]
完整性影响: [--]
可用性影响: [--]
攻击复杂度: [--]
攻击向量: [--]
身份认证: [--]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1829
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-1829
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200212-441
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=vuln-dev&m=102221487407632&w=2
(UNKNOWN)  VULN-DEV  20020523 Security holes in OpenBB
http://www.securityfocus.com/bid/4819
(UNKNOWN)  BID  4819
http://xforce.iss.net/xforce/xfdb/9160
(UNKNOWN)  XF  openbb-admin-access(9160)

- 漏洞信息

OpenBB BBCode可插入HTML代码漏洞
中危 输入验证
2002-12-31 00:00:00 2005-10-20 00:00:00
远程  
        
        OpenBB是一款由PHP编写的WEB论坛程序,可使用在Unix和Linux操作系统下,也可使用在Microsoft Windows 操作系统下。
        OpenBB在处理'BBCodes'字段中的数据缺少正确充分的检查,可导致远程攻击者进行HTML插入攻击。
        OpenBB可以使用'BBCodes'代替HTML代码支持图象,链接操作,但是OpenBB对用户提交给'BBCodes'字段的数据缺少正确检查,可导致攻击者插入任意HTML代码到'BBCodes'字段并显示在论坛信息中,当论坛用户浏览此包含恶意代码的链接时,就可以使脚本代码在浏览用户浏览器上执行,攻击者获得用户基于COOKIE认证的敏感信息。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 设置浏览器,关闭javascript功能。
        * 修改程序,严格过滤用户输入的数据。
        厂商补丁:
        OpenBB
        ------
        目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        
        http://www.prolixmedia.com/
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站