发布日期：2007-08-24
更新日期：2007-08-27

受影响系统：

Ipswitch WS_FTP Server 6

描述：

---

CVE(CAN) ID: CVE-2007-4555

WS_FTP是一个Winsock协议下标准的FTP服务器客户端套件。

WS_FTP服务器处理日志中可能出现的HTML代码时存在漏洞，远程攻击者可能利用此漏洞执行跨站脚本攻击。

WS_FTP服务器记录客户端FTP命令时存在跨站脚本漏洞。如果客户端的FTP命令无效（error）的话，服务器就会将特殊的字符转换成HTML字符（< = <, > = >）并记录，但如果FTP命令有效的话就不会执行任何过滤检查，因此可能向日志文件中注入HTML和Javascript。WS_FTP管理界面中有一个查看日志选项，在查看日志时就可以利用上述漏洞窃取管理员cookie，或直接创建FTP服务器的新用户帐号。

<*来源：Jared DeMott （demottja@msu.edu）
  
  链接：http://marc.info/?l=full-disclosure&m=118791261319616&w=2
        http://secunia.com/advisories/26529/
*>

建议：

---

厂商补丁：

Ipswitch
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ipswitch.com/

浏览次数：3489
严重程度：0（网友投票）