发布日期：2003-01-22
更新日期：2003-01-31

受影响系统：

Microsoft Content Management Server 2001
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server
Microsoft Content Management Server 2001 SP1
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server

不受影响系统：

Microsoft Content Management Server 2002

描述：

---

BUGTRAQ  ID: 6668
CVE(CAN) ID: CVE-2003-0002

Microsoft Content Management Server 2001 (MSCMS)是一款企业WEB级别内容管理系统，可以构建、配置、维护公司Internet、Intranet、Extranet Web环境。

Microsoft内容管理服务程序对用户提交的输入缺少充分过滤，远程攻击者可以利用这个漏洞构建恶意链接，诱使用户点击，可导致信息泄露。

MSCMS部分脚本在构建依靠用户提供的值而产生的响应页面时，对用户提交的输入缺少充分过滤，当这个生成的链接被目标用户点击后，包含在内的恶意代码就会在用户浏览器上执行，可以窃取用户的一些私人信息，如基于COOKIE认证的信息，或进行其他非法恶意活动。

此漏洞可能和'NSFOCUS bug_id 3646( http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=3646 )'描述的漏洞一样。

<*来源：Microsoft Security bulletins
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS03-002.asp
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS03-002）以及相应补丁:
MS03-002：Cumulative Patch for Microsoft Content Management Server (810487)
链接：http://www.microsoft.com/technet/security/bulletin/MS03-002.asp

补丁下载：

    * Microsoft Content Management Server 2001:
       http://download.microsoft.com/download/5/9/3/5936344a-480c-4343-bcea-b3f6aa25fa23/mcms2001srp2.exe

浏览次数：2887
严重程度：0（网友投票）