YABBSE多个跨站脚本执行漏洞(CSS/XSS)

- AV AC AU C I A
发布: 2025-03-27
修订: 2025-03-27

Yabb Se是一款基于PHP/MySQL的论坛程序。 YaBB SE由于不正确的过滤[glow]和[shadow]标记,远程攻击者可以利用这个漏洞进行跨站脚本执行攻击,导致敏感信息泄露。 在[glow]和[shadow]标记中加入恶意脚本代码,当浏览者读取包含此链接的页面,无需打开就会导致恶意脚本代码在用户浏览器上执行,可使目标用户敏感信息泄露。 YaBB Simple Machines SMF 1.0 b SE 1.5.1 Gold - SP 1.3 如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁: * frog-m@n提供如下第三方补丁: 使用 ----------------------------------------------------------------------------------- \'/\\[glow=([[:alpha:]]+?),(.+?),(.+?)\\](.+?)\\[\\/glow\\]/eis\', \'/\\[shadow=([[:alpha:]]+?),(.+?)\\](.+?)\\[\\/shadow\\]/eis\', ----------------------------------------------------------------------------------- 代替 -------------------------------------------------------------------------- \'/\\[glow=(.+?),(.+?),(.+?)\\](.+?)\\[\\/glow\\]/eis\', \'/\\[shadow=(.+?),(.+?)\\](.+?)\\[\\/shadow\\]/eis\', -------------------------------------------------------------------------- 使用-----------------------------------------------------------------------------------------------------------------------------...

0%
暂无可用Exp或PoC
当前有0条受影响产品信息