漏洞关键信息 漏洞名称: DeskPRO Admin Panel Multiple HTML Injections 日期: 2007.08.21 风险等级: 低 CVE编号: CVE-2007-4413 CWE编号: N/A Local: Yes Remote: Yes 漏洞描述 类型: HTML注入 影响: 攻击者可利用此漏洞在受影响站点的浏览器中执行任意脚本代码,从而盗取基于Cookie的认证凭证并发起其他攻击。 受影响文件: - /admincp/ticket_category.php - /admincp/ticket_priority.php - /admincp/ticket_workflow.php - /admincp/ticket_escalate.php - /admincp/fields_ticket.php - /admincp/ticket_rules_web.php - /admincp/ticket_displayfields.php - /admincp/ticket_rules_mail.php - /admincp/fields_user.php - /admincp/fields_faq.php - /admincp/user_help.php 影响版本: DeskPRO v3.0.2 Beta 及之前版本可能受影响。 攻击方式: 无需利用工具,攻击者可通过Web客户端进行攻击。 其他信息 提交者: Doz 分类: 输入验证错误 严重性: 中等 厂商: Headstart Solutions Limited 网站**: http://www.deskpro.com/