PHP-Calendar 'index.php'多个跨站脚本攻击漏洞

漏洞介绍

PHP-Calendar是一套基于Web的日历事务系统。该系统支持跟踪日程信息。

PHP-Calendar的脚本index.php存在多个跨站脚本攻击漏洞。远程攻击者可以借助参数(1)description和(2)lastaction注入任意的web脚本和HTML。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Sean Proctor PHP-Calendar 2.0 Beta6

Sean Proctor PHP-Calendar 2.0 Beta7

http://php-calendar.googlecode.com/files/php-calendar-2.0-beta7.tar.gz

来源: VUPEN

名称: ADV-2010-1202

链接：http://www.vupen.com/english/advisories/2010/1202
来源: BID

名称: 40334

链接：http://www.securityfocus.com/bid/40334
来源: BUGTRAQ

名称: 20100521 PHP-Calendar "description" and "lastaction" Cross Site Scripting Vulnerabilities

链接：http://www.securityfocus.com/archive/1/archive/1/511395/100/0/threaded
来源: SECUNIA

名称: 33899

链接：http://secunia.com/advisories/33899
来源: php-calendar.blogspot.com

链接：http://php-calendar.blogspot.com/2010/05/php-calendar-20-beta7.html