发布日期：2004-01-29
更新日期：2004-02-05

受影响系统：

CPAN WWW::Form Perl Module 1.12

不受影响系统：

CPAN WWW::Form Perl Module 1.13

描述：

---

BUGTRAQ  ID: 9526
CVE(CAN) ID: CVE-2004-2332

WWW::Form是一款简单和容易扩展的允许开发者处理HTML表单确认验证的模块。

CPAN WWW::Form部分代码由于不充分过滤用户提供的数据，远程攻击者可以利用这个漏洞进行HTML注入攻击，可能获得用户的敏感信息。

部分代码由于不充分过滤数据，可造成跨站脚本执行攻击。攻击者可以构建恶意链接，诱使用户访问，可使恶意HTML脚本在用户浏览器上执行。

<*来源：Shlomi Fish （shlomif@iglu.org.il）
  
  链接：http://www.securiteam.com/unixfocus/5IP0L2KBPM.html
*>

建议：

---

厂商补丁：

CPAN
----
WWW::Form 1.13不存在此问题：

http://search.cpan.org/dist/WWW-Form/Form.pm

浏览次数：2991
严重程度：0（网友投票）