漏洞信息

　　PHPAdsNew和PHPPGAds是一款基于WEB的新闻和广告管理程序。

　　PHPAdsNew和PHPPGAds不充分过滤用户输入数据，远程攻击者可以利用漏洞进行跨站脚本攻击，可获得目标用户敏感信息。

　　问题是管理接口多个脚本对参数缺少过滤，可导致跨站脚本问题。另外表单对发送的查询字符串也缺少过滤，可导致相同问题，诱使用户访问可获得目标用户敏感信息。

　　BUGTRAQ ID: 17251

　　CNCAN ID:CNCAN-2006032807

　　漏洞消息时间:2006-03-28

　　漏洞起因

　　输入验证问题

　　影响系统

　　phpPgAds phpPgAds 2.0.7

　　phpAdsNew phpAdsNew 2.0.7

　　不受影响系统

　　phpPgAds phpPgAds 2.0.8

　　phpAdsNew phpAdsNew 2.0.8

　　危害

　　远程攻击者可以利用漏洞进行跨站脚本攻击，可获得目标用户敏感信息。

　　攻击所需条件

　　攻击者必须访问PHPAdsNew和PHPPGAds。

　　厂商解决方案

　　升级程序：

　　phpPgAds phpPgAds 2.0.7

　　phpPgAds phpPgAds-2.0.8.tar.gz

　　http://prdownloads.sourceforge.net/phppgads/phpPgAds-2.0.8.tar.gz?down load

　　phpAdsNew phpAdsNew 2.0.7

　　phpAdsNew phpAdsNew-2.0.8.tar.gz

　　http://prdownloads.sourceforge.net/phpadsnew/phpAdsNew-2.0.8.tar.gz?do wnload

　　漏洞提供者

　　Matteo Beccati

　　漏洞消息链接

　　http://marc.theaimsgroup.com/?l=bugtraq&m=114347302100517&w=2

　　漏洞消息标题

　　[PHPADSNEW-SA-2006-001] phpAdsNew and phpPgAds 2.0.8 fix multiple