PHPAdsNew和PHPPGAds存在输入验证漏洞

漏洞信息 

　　PHPAdsNew和PHPPGAds是一款基于WEB的新闻和广告管理程序。 

　　PHPAdsNew和PHPPGAds不充分过滤用户输入数据，远程攻击者可以利用漏洞进行跨站脚本攻击，可获得目标用户敏感信息。 

　　问题是管理接口多个脚本对参数缺少过滤，可导致跨站脚本问题。另外表单对发送的查询字符串也缺少过滤，可导致相同问题，诱使用户访问可获得目标用户敏感信息。 

　　BUGTRAQ ID: 17251 

　　CNCAN ID:CNCAN-2006032807 

　　漏洞消息时间:2006-03-28 

　　漏洞起因 

　　输入验证问题 

　　影响系统 

　　phpPgAds phpPgAds 2.0.7 

　　phpAdsNew phpAdsNew 2.0.7 

　　不受影响系统 

　　phpPgAds phpPgAds 2.0.8 

　　phpAdsNew phpAdsNew 2.0.8 

　　危害 

　　远程攻击者可以利用漏洞进行跨站脚本攻击，可获得目标用户敏感信息。 

　　攻击所需条件 

　　攻击者必须访问PHPAdsNew和PHPPGAds。 

　　厂商解决方案 

　　升级程序： 

　　phpPgAds phpPgAds 2.0.7 

　　phpPgAds phpPgAds-2.0.8.tar.gz 

　　http://prdownloads.sourceforge.net/phppgads/phpPgAds-2.0.8.tar.gz?down load 

　　phpAdsNew phpAdsNew 2.0.7 

　　phpAdsNew phpAdsNew-2.0.8.tar.gz 

　　http://prdownloads.sourceforge.net/phpadsnew/phpAdsNew-2.0.8.tar.gz?do wnload 

　　漏洞提供者 

　　Matteo Beccati 

　　漏洞消息链接 

　　http://marc.theaimsgroup.com/?l=bugtraq&m=114347302100517&w=2 

　　漏洞消息标题 

　　[PHPADSNEW-SA-2006-001] phpAdsNew and phpPgAds 2.0.8 fix multiple
(e129)