发布日期：2002-01-06
更新日期：2002-01-11

受影响系统：

Lebios phptonuke.php

描述：

---

BUGTRAQ  ID: 3807
CVE(CAN) ID: CVE-2002-1995

phptonuke.php是一个PHP-Nuke附加脚本，用于把一段PHP脚本插入到一个PHP-Nuke站点，程序由Lebios维护。

phptonuke.php存在跨站脚本执行漏洞，可以使攻击者在被攻击者的浏览器上下文执行脚本。

攻击者可能利用phptonuke.php创建一个含有脚本代码的链接，当用户访问这个链接时，脚本会在用户机器浏览器上在当前用户环境下执行。攻击者可能利用这个问题劫持基于Cookie验证的用户会话。

<*来源：frog frog （leseulfrog@hotmail.com）
  
  链接：http://archives.neohapsis.com/archives/vuln-dev/2002-q1/0048.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在浏览器中设置禁止Java脚本及活动脚本的执行。

厂商补丁：

Lebios
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpnuke.org/

浏览次数：4072
严重程度：0（网友投票）