发布日期：2013-12-30
更新日期：2013-12-31

受影响系统：

ZendTo ZendTo <=  4.11-12

描述：

---

CVE(CAN) ID: CVE-2013-6808

ZendTo是基于Web的文件转换器。

ZendTo 4.11-12版本没有正确过滤pickup.php的 "emailAddr" 参数值，可导致插入任意HTML和脚本代码，被查看后，在受影响站点的用户浏览器上下文中执行这些代码。

<*来源：Richard Rogerson
  
  链接：http://secunia.com/advisories/56283/
*>

建议：

---

厂商补丁：

ZendTo
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.zend.to/changelog.php

浏览次数：2153
严重程度：0（网友投票）