VULHUB ™

ATutor 1.4.3和1.5 RC 1版本中存在多个跨站脚本攻击漏洞，远程攻击者可借助：(1)提交到browse.php脚本的show_course参数，(2)到contact.php脚本的subject参数，(3)到content.php脚本的cid参数，(4)到inbox/send_message.php脚本的l参数，(5)到search.php脚本的search参数，(6)words参数，(7)include参数，(8)find_in参数，(9)display_as参数，或(10)search参数，(11)到tile.php脚本的submit参数，(12)query参数，或(13)field参数，(14)到forum/subscribe_forum.php脚本的us参数，或(15)到directory.php脚本的roles[]参数，(16)status参数，(17)submit参数，或(18)reset_filter参数，来注入任意Web脚本或HTML。

ATutor 1.4.3和1.5 RC 1版本中存在多个跨站脚本攻击漏洞，远程攻击者可借助：(1)提交到browse.php脚本的show_course参数，(2)到contact.php脚本的subject参数，(3)到content.php脚本的cid参数，(4)到inbox/send_message.php脚本的l参数，(5)到search.php脚本的search参数，(6)words参数，(7)include参数，(8)find_in参数，(9)display_as参数，或(10)search参数，(11)到tile.php脚本的submit参数，(12)query参数，或(13)field参数，(14)到forum/subscribe_forum.php脚本的us参数，或(15)到directory.php脚本的roles[]参数，(16)status参数，(17)submit参数，或(18)reset_filter参数，来注入任意Web脚本或HTML。