漏洞名称: Command School Student Management System 跨站脚本漏洞
CNNVD编号: CNNVD-201402-090
发布时间: 2014-02-11
更新时间: 2014-02-11
危害等级: 中危  中危
漏洞类型: 跨站脚本
威胁类型: 远程
CVE编号: CVE-2014-1914

Command School Student Management System是一套基于Web的学生/学校管理系统。

Command School Student Management System 1.06.01版本中存在跨站脚本漏洞,该漏洞源于sw/add_topic.php脚本没有正确过滤‘topic’参数和sw/chat/message.php脚本没有正确过滤‘nick’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        http://sourceforge.net/projects/swifttide/

来源: XF
名称: commandschool-message-xss(90179)
链接:http://xforce.iss.net/xforce/xfdb/90179


来源: XF
名称: commandschool-addtopic-xss(90178)
链接:http://xforce.iss.net/xforce/xfdb/90178


来源: packetstormsecurity.com
链接:http://packetstormsecurity.com/files/124708/Command-School-Student-Management-System-1.06.01-SQL-Injection-CSRF-XSS.html


   
 

官方暂未发布补丁

Doug_poulin Command_ ...