关键信息摘要 漏洞名称: SAXON version 5.4 XSS Attack Vulnerability 发布日期: 2007-10-30 CVSS Base Score: 4.3/10 CVSS Summary: - Exploitability Subscore: 8.6/10 - Impact Subscore: 2.9/10 - Attack Complexity: Medium - Confidentiality Impact: None - Integrity Impact: Partial - Availability Impact: None CVE ID: CVE-2007-4862 CWE ID: CWE-79 风险等级: Low 漏洞描述 SAXON 是一个简单的在线新闻发布系统,用于个人和小型公司网站所有者。发布新闻、使用可配置的模板、编辑和删除现有新闻项目、创建多个RSS源等。成功利用该漏洞要求PHP 设置为On且 设置为Off。 影响和利用 利用方式: 攻击者可以通过精心制作的请求在SAXON 5.4版本中执行XSS攻击。 影响: 可以使目标网站显示恶意内容,攻击目标不是易受攻击的网站,而是攻击受害者使用的工具。 示例请求: - 解决方案和修复 修复版本: SAXON 新版本5.41已解决该问题,且已确认所有漏洞已被修复。 临时缓解措施: - 将php.ini文件中的 设置为Off。 - 修改.htaccess文件包含 指令(仅适用于Apache服务器)。