漏洞名称: qdPM 跨站脚本漏洞
CNNVD编号: CNNVD-201703-852
发布时间: 2017-03-20
更新时间: 2017-03-20
危害等级: 中危  中危
漏洞类型: 跨站脚本
威胁类型: 远程
CVE编号: CVE-2015-3883

qdPM是一套免费的、开源的基于Symfony框架使用PHP和MySQL开发项目管理系统。

qdPM 8.3版本中存在跨站脚本漏洞。远程攻击者可借助多个脚本中的参数利用该漏洞注入任意的Web脚本或HTML。其中的参数和脚本包括:(1)index.php/users页面中的‘search[keywords]’参数;(2)index.php/configuration页面中的‘Name of application’;(3)index.php/projects中的‘new project name’;(4)index.php/tasks中的‘task name’;(5)index.php/tickets中的‘ticket nam’;(6)index.php/discussions中的‘discussion name’;(7)index.php/projectReports中的‘report name’;(8)index.php/scheduler/personal中的‘event name’。

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
        http://qdpm.net/

来源:rossmarks.uk
链接:http://rossmarks.uk/portfolio.php


来源:rossmarks.uk
链接:http://rossmarks.uk/whitepapers/qdPM_8.3.txt

   
 

暂无数据

暂无数据