VULHUB ™

Plume CMS是一款PHP实现的基于Web的内容管理系统，以MySQL作为后台数据库。 Plume CMS 1.2.4及之前版本中存在多个跨站脚本漏洞。远程攻击者可利用这些漏洞借助（1）传送至 manager/users.php的 u_email参数（也称Authors Email field）（2）传送至 manager/users.php的u_realname参数（也称Authors Name field）（3）在添加评论部分的c_author参数（也称Author field），注入任意web脚本或者HTML。

Plume CMS是一款PHP实现的基于Web的内容管理系统，以MySQL作为后台数据库。 Plume CMS 1.2.4及之前版本中存在多个跨站脚本漏洞。远程攻击者可利用这些漏洞借助（1）传送至 manager/users.php的 u_email参数（也称Authors Email field）（2）传送至 manager/users.php的u_realname参数（也称Authors Name field）（3）在添加评论部分的c_author参数（也称Author field），注入任意web脚本或者HTML。