SurgeFTP多个跨站脚本执行漏洞

发布日期：2011-08-16
更新日期：2011-08-16

受影响系统：
NetWin SurgeFTP 23b6
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 49160

SurgeFTP是一款FTP服务程序，提供管理接口程序。

SurgeFTP的Web接口在实现上存在多个跨站脚本执行漏洞，远程攻击者可利用此漏洞在受影响站点的用户浏览器中执行任意脚本代码，窃取Cookie身份验证凭证。

<*来源：Houssam Sahli
  *>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/cgi/surgeftpmgr.cgi?cmd=log&domainid=0&fname="<script>alert('XSS');</script>
>
>