帝国cms教程

帝国cms编辑器跨站漏洞

我的站长站 2013-04-07 人阅读

漏洞类型:

跨站脚本攻击(XSS)

所属建站程序:

帝国cms

所属服务器类型:

通用

所属编程语言:

PHP

描述:

帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出

危害:

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。

解决方案:

修改目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中

TranFile.php
TranFlash.php
TranImg.php
TranMedia.php

这个四个文件

$InstanceName=$_GET['InstanceName'];

改为

$InstanceName=htmlspecialchars($_GET['InstanceName']);


相关专题
编辑器
编辑器
2021-05-14 210

编辑器是网站开发必备插件,编辑器专题为大家整理各类型编辑器下载,包含热门的CMS程序编辑器插件下载,html编辑器源码下载等等....

相关推荐
  • 网站漏洞
  • 帝国cms编辑器
  • Safe3WVS_10.1网站漏洞查杀软件
    Safe3WVS_10.1网站漏洞查杀软件

    Safe3 Web Vul Scanner使用较为领先的智能化爬虫技术及SQL注入状态检测技术,使得相比国内外同类产品智能化程度更高,速度更快,结果更准确。系统适用领域:金融、证券、银行、电子政务、电子商务、教育...

    开发软件 154 4年前
  • 帝国cms编辑器跨站漏洞

    漏洞类型:跨站脚本攻击(XSS)所属建站程序:帝国cms所属服务器类型:通用所属编程语言:PHP描述:帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出危害:

    帝国cms教程 827 11年前
  • 织梦CMS阿里云提示漏洞修复方法

    站长最开始也是用的织梦CMS,由于织梦CMS经常报漏洞后来就换成了现在的帝国cms。dedecms的漏洞问题都是众所周知的了,织梦CMS在用阿里云ECS服务器的时候,阿里云服务器后都会提示各种各样的织梦CMS漏洞,dedecms漏洞。遇到这种情况应该怎么办了,唯一方法就...

    织梦cms教程 459 7年前
  • 帝国cms默认编辑器UEdito读取远程图片失效

    帝国cms默认编辑器UEdito读取远程图片失效,失败的原因有2个,1是文件类型,也就是文件的扩展名验证不通过。2是当图片的地址后面带问号“?”,也就是地址后面带参数的时候,拉取远程图片会失败。另外,验证时的扩展名问题解决了,就出现另一个问题,就是上传保存的...

    帝国cms教程 148 4年前
  • 帝国cms编辑器跨站漏洞

    漏洞类型:跨站脚本攻击(XSS)所属建站程序:帝国cms所属服务器类型:通用所属编程语言:PHP描述:帝国cms编辑器中存在xss跨站,$InstanceName参数外部获取直接输出危害:

    帝国cms教程 827 11年前
  • 帝国CMS7.2更新Fckeditor编辑器

    帝国CMS7.2版本Fckeditor编辑器更新如下:1、更新让编辑器默认支持IE10以上版本;2、更新编辑器插入分页分隔符支持火狐;3、更新编辑器插入br支持火狐。由于IE10以上版本头部信息不再包含“MSIE”内容,导致Fckeditor编辑器无法识别IE版本。因而,帝国CMS7....

    帝国cms教程 269 10年前
最新更新