帝国cms编辑器跨站漏洞
发布时间:2022-10-31作者:帝国建站网
漏洞类型:
跨站脚本攻击(XSS)
所属建站程序:
帝国cms
所属服务器类型:
通用
所属编程语言:
PHP
描述:
帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出
危害:
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。
解决方案:
修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中
TranFile.php
TranFlash.php
TranImg.php
TranMedia.php
这个四个文件
$InstanceName=$_GET['InstanceName'];
改为
$InstanceName=htmlspecialchars($_GET['InstanceName']);
相关专题
相关帝国教程
- 12-10帝国cms灵动标签SQL调用广告系统里的广告
- 11-25phome_enewspubvarclass 数据表字段解释(扩展变量分类表)
- 11-07帝国cms之通过ID取得栏目地址函数
- 09-14帝国CMS灵动标签调用子栏目及子栏目信息
- 03-16帝国CMS高级应用:SQL调用留言(已审核留言)
- 12-06帝国wap内容模板里过滤掉图片尺寸的方法
- 10-10帝国cms模板中载入html页面调用方法和代码是什么?
- 09-28帝国cms采集规则加上采集来源地址的方法
- 11-19帝国CMS二次开发常用变量收集
- 07-29帝国CMS7.5版支持自定义后台登录文件
- 09-27帝国CMS多作者调用(包括有作者链接和没有连接)的方法
- 07-05帝国CMS万能标签调用指定时间内容方法
- 04-16帝国CMS列表页内容显示判断文章来源,并带连接的方法
- 07-31帝国CMS调用当前专题信息
- 09-23帝国CMS结合项提示您来自的链接不存在
- 03-29帝国cms手机端WAP中内容页模板调用栏目缩略图和栏目简介方法
- 09-10给帝国CMS的会员字段加编辑器的方法
- 11-30帝国CMS调用最新300条中点击率最高的2条
- 05-29在帝国CMS内容页模板里调用附属专题
- 01-21帝国CMS模板中内容关键字加粗显示