发布日期：2002-02-25
更新日期：2002-02-28

受影响系统：

Iansoft OpenBB 1.0.0 RC2
Iansoft OpenBB 1.0.0 RC1
Iansoft OpenBB 1.0.0 beta1

描述：

---

BUGTRAQ  ID: 4171
CVE(CAN) ID: CVE-2002-0330

OpenBB是一个基于Web的论坛程序，用PHP实现，可运行于Unix类操作系统下，也可运行于Windows平台。

OpenBB对用户输入过滤上存在漏洞，可能使远程攻击者利用在论坛上的发贴对其他用户进行跨站脚本执行攻击。

OpenBB支持用户在贴子中使用[img]标记插入图像，但它未对标记中的内容做充分的过滤，这可能导致攻击者在此标记的内容中放入脚本代码，当用户浏览相关页面时，脚本将在用户的浏览器中执行。攻击者可能借此得到用户基于Cookie的认证信息。

<*来源：Yurij Rumiantsev （skizzik@imail.ru）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-02/0272.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在漏洞修复之前暂时关闭Image标记的使用。

厂商补丁：

Iansoft
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.openbb.net/

浏览次数：2813
严重程度：0（网友投票）