phpmyfactures 跨站脚本漏洞

CVE编号

CVE-2006-3089

利用情况

暂无

补丁情况

N/A

披露时间

2006-06-20

漏洞描述

Multiple cross-site scripting (XSS) vulnerabilities in PhpMyFactures 1.0, and possibly 1.2 and earlier, allow remote attackers to inject arbitrary web script or HTML via the (1) prefixe_dossier parameter in (a) /inc/header.php; (2) msg parameter in (b) /remises/ajouter_remise.php, (c) /tva/ajouter_tva.php, (d) /stocks/ajouter.php, (e) /pays/ajouter_pays.php, (f) /produits/ajouter_cat.php, (g) /produits/ajouter_produit.php and (h) /produits/modifier_cat.php; (3) tire parameter in /remises/ajouter_remise.php; (4) quantite, (5) taux and (6) date parameter in /stocks/ajouter.php; and (7) pays and (8) prefixe parameter in /pays/ajouter_pays.php.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://secunia.com/advisories/20642
http://securityreason.com/securityalert/1111
http://www.acid-root.new.fr/advisories/phpmyfactures.txt
http://www.osvdb.org/26478
http://www.osvdb.org/26479
http://www.osvdb.org/26480
http://www.osvdb.org/26481
http://www.osvdb.org/26482
http://www.osvdb.org/26483
http://www.osvdb.org/26484
http://www.osvdb.org/26485
http://www.securityfocus.com/archive/1/437025/100/0/threaded
https://exchange.xforce.ibmcloud.com/vulnerabilities/27208

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	phpmyfactures	phpmyfactures	*		Up to (including) 1.2
	运行在以下环境
	应用	phpmyfactures	phpmyfactures	1.0	-

CVSS3评分 4.3

• 攻击路径 网络
• 攻击复杂度 N/A
• 权限要求 无
• 影响范围 N/A
• 用户交互 需要
• 可用性 无
• 保密性 无
• 完整性 部分地

AV:N/AC:M/Au:N/C:N/I:P/A:N

CWE-ID	漏洞类型
NVD-CWE-Other

Exp相关链接

- avd.aliyun.com