关键漏洞信息 漏洞描述 软件名称: ModernBill 受影响版本: 4.3.0 及更早版本 发布日期: 2005年4月10日 供应商: ModernGigabyte, LLC 软件用途: 广泛应用于网络托管提供商管理账单和财务数据的计费和管理系统 漏洞详情 1. 跨站脚本(XSS)漏洞 - 详情: ModernBill 的订单表单存在多个跨站脚本漏洞。 - 影响: 攻击者可以利用此漏洞在受害者的 Web 浏览器上下文中执行客户端代码,窃取敏感的用户数据,或在受害者的浏览器中呈现恶意代码。 - 示例: 2. 远程文件包含(RFI)漏洞 - 详情: ModernBill 配有名为 "samples" 的目录,包含几个帮助用户自定义 ModernBill 的文件。其中一个脚本 "news.php" 存在危险的远程文件包含漏洞。 - 影响: 如果全局变量已启用且没有包含限制,则可以通过远程包含任意 PHP 代码。 - 示例: 解决方案 建议: 已发布修复版本,建议用户立即升级他们的 ModernBill 安装。 相关信息 原始公告: http://www.gulftech.org/?node=research&article_id=00067-04102005