信息提供：

漏洞类别：

攻击类型：

发布日期：

更新日期：

受影响系统：

安全系统：

无

漏洞报告人：

漏洞描述：

Bugtraq ID: 14751

MAXdev MD-Pro包含有多个跨站脚本漏洞。该漏洞是由于对用户提交申请时输入的信息进行处理失败而导致的。

攻击者可利用该漏洞在未被怀疑的管理用户的浏览器内执行任意的脚本代码。这可使攻击者窃取基于cookie的用户认证信息。

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

可通过以下链接获取验证方法:
http://www.example.com/modules.php?

op=modload&name=subjects&file=print&print=
http://www.example.com/modules.php?

op=modload&name=Messages&file=bb_smilies&sitename=
http://www.example.com/modules.php?

op=modload&name=Messages&file=bbcode_ref&sitename=
http://www.example.com/javascript/openwindow.php?hlpfile=")

解决方法：

目前还未获得厂商提供的任何补丁，详细信息请参看下面链接。

• MAXdev MD-Pro Homepage (MAXdev) )