发布日期：2002-01-09
更新日期：2002-01-09

受影响系统：

Infopop Ultimate Bulletin Board 6.2.0 Beta
Infopop Ultimate Bulletin Board 6.0Beta
Infopop Ultimate Bulletin Board 6.0.4f
Infopop Ultimate Bulletin Board 6.0.3
Infopop Ultimate Bulletin Board 6.0.2
Infopop Ultimate Bulletin Board 6.0.1
Infopop Ultimate Bulletin Board 6.0
Infopop Ultimate Bulletin Board 5.43
Infopop Ultimate Bulletin Board 5.4.7e

描述：

---

BUGTRAQ  ID: 3829
CVE(CAN) ID: CVE-2002-0118

UBB (Ultimate Bulletin Board)是一款商业性质的WEB论坛/社区程序，由PERL语言实现，可以运行在unix/linux,MacOS,Microsoft Windows 9x/ME/NT/2000/XP系统平台下。

UBB对用户输入过滤上存在漏洞，可使远程攻击者利用在论坛上发贴对其他浏览用户进行跨站脚本执行攻击。

UBB支持在帖子中用户使用[img]/[/img]标记插入图象连接，但它未对标记中的内容做充分过滤，这可能导致攻击者在此标记的内容中放入脚本代码，当其他用户浏览相关此连接的时候，脚本将在用户的浏览器中执行。攻击者可能借此得到用户基于COOKIE的认证信息。

<*来源：Obscure （obscure@eyeonsecurity.net）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0093.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在漏洞修复之前暂时关闭Image标记的使用。

厂商补丁：

Infopop
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.infopop.com/products/ubb/

浏览次数：3094
严重程度：0（网友投票）