PJBlog个人博客系统Action.asp页面跨站脚本攻击漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

在文件Action.asp中: elseif request(&quot;action&quot;)=&quot;type1&quot; then //第23行 dim mainurl,main,mainstr mainurl=request(&quot;mainurl&quot;) main=trim(checkstr(request(&quot;main&quot;))) response.clear() mainstr=&quot;&quot; If Len(memName)&gt;0 Then mainstr=mainstr&amp;&quot;&lt;img src=&quot;&quot;images/download.gif&quot;&quot; alt=&quot;&quot;下载文件&quot;&quot; style=&quot;&quot;margin:0px 2px -4px 0px&quot;&quot;/&gt; &lt;a href=&quot;&quot;&quot;&amp;mainurl&amp;&quot;&quot;&quot; target=&quot;&quot;_blank&quot;&quot;&gt;&quot;&amp;main&amp;&quot;&lt;/a&gt;&quot; 程序对于输出变量mainurl和main没有过滤导致xss漏洞的产生。在同文件42行代码类似 PJBlog 3.0.6.170 PJblog ------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: <a href=http://bbs.pjhome.net/thread-48122-1-1.html target=_blank rel=external nofollow>http://bbs.pjhome.net/thread-48122-1-1.html</a>

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息