漏洞关键信息 漏洞概述 漏洞描述: Wikidforum 2.10 存在多个XSS和SQL注入漏洞。 影响软件: Wikidforum 2.10 漏洞ID: SSCHADV2012-005 OSVDB ID: 80838, 80839, 80840 漏洞细节 XSS漏洞 PoC代码: - 基本搜索: - 高级搜索 -> 作者: - 高级搜索 -> POST参数 'select_sort': 可能的SQL注入漏洞 PoC代码: - 高级搜索 -> POST参数 'select_sort': - 高级搜索 -> POST参数 'opt_search_select': 披露时间线 2012-02-19: 通知供应商 2012-03-10: 供应商未回复 2012-03-10: 在BugTraq发布 2012-04-14: 再次通知供应商(感谢Henri Salo) 发现者 Stefan Schurtz 发现并撰写了此公告 参考链接 漏洞公告 Wiki论坛讨论 OSVDB记录1 OSVDB记录2 OSVDB记录3