MiniBB bb_admin.php模塊跨站腳本執行漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】MiniBB（Minimalistic Bulletin Board）是一個線性的可定制電子佈告欄程序。MiniBB的bb_admin.php文件中沒有正確地過濾對whatus參數的輸入便返回給了用戶，這允許攻擊者通過提交惡意HTTP請求導致在用戶瀏覽器會話中執行任意HTML和腳本代碼。

發佈日期：2008-04-28

更新日期：2008-04-30

受影響系統：

MiniBB MiniBB 2.2a

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 28957

MiniBB（Minimalistic Bulletin Board）是一個線性的可定制電子佈告欄程序。

MiniBB的bb_admin.php文件中沒有正確地過濾對whatus參數的輸入便返回給了用戶，這允許攻擊者通過提交惡意HTTP請求導致在用戶瀏覽器會話中執行任意HTML和腳本代碼。

<*來源：IRCRASH

鏈接：http://secunia.com/advisories/30004/

*>

建議：

----------------------------------------------------------------------------

廠商補丁：

MiniBB

------

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟體的用戶隨時關注廠商的主頁以獲取最新版本：

http://www.minibb.net/authors.html

(