发布日期：2002-04-09
更新日期：2002-04-16

受影响系统：

ASP-Nuke ASP-Nuke RC2
ASP-Nuke ASP-Nuke RC1

不受影响系统：

ASP-Nuke ASP-Nuke RC3

描述：

---

BUGTRAQ  ID: 4477
CVE(CAN) ID: CVE-2002-0521

ASP-Nuke是一款基于WEB的系统架构程序，运行在多种Unix和Linux系统下，也可运行于Windows平台下。

ASP-Nuke对用户输入过滤上存在漏洞，可使远程攻击者利用在论坛上发贴对其他浏览用户进行跨站脚本执行攻击。

ASP-Nuke中的downloads.asp和post.asp在处理用户提供的输入没有过滤相关的脚本代码，攻击者可以构建包含恶意脚本代码的内容提交给连接，当其他用户浏览相关此连接的时候，脚本将在用户的浏览器中执行。攻击者可能借此得到用户基于Cookie的认证信息。

<*来源：frog frog （leseulfrog@hotmail.com）
  
  链接：http://www.ifrance.com/kitetoua/tuto/ASPNuke.txt
*>

建议：

---

厂商补丁：

ASP-Nuke
--------
目前厂商已经在最新版本的软件中修补了此漏洞，请到厂商的主页获取最新版本：

http://www.asp-nuke.com/downloads.asp

浏览次数：3440
严重程度：0（网友投票）