远程主机正在使用 InMail/InShop，这是一款以 Perl 编写的 Web 应用程序。

特别是在“acao”uri-argument 脚本“inmail.pl”和“screen”uri 参数中的“inshop.pl”验证用户输入时发生实现错误，该错误可导致 XSS 漏洞，允许用户发起跨站攻击，还允许窃取基于 Cookie 的身份验证凭据。

远程主机正在使用 YaBB Web 论坛软件。 

根据其版本号，此软件的远程版本容易受到使用影子或发光标记的 JavaScript 注入问题的影响。这可能允许攻击者将恶意的 JavaScript 注入论坛系统，以窃取 Cookie 凭据或歪曲站点内容。提交该表单后，恶意的 JavaScript 将被纳入动态生成的内容当中。

远程主机运行 phpCMS，这是一款以 PHP 编写的内容管理系统。

此版本容易受到跨站脚本的影响，这是对 parser.php 脚本中用户提供的数据缺少审查所致。若成功利用此问题，攻击者便可在易受影响的服务器上执行恶意脚本代码。

远程主机正在使用 Aztek Forum，这是一款以 PHP 编写的 Web 论坛。 

此软件的远程版本存在一个漏洞 - 具体而言，该漏洞存在于脚本“forum_2.php”中，可能允许攻击者使用远程主机发起跨站脚本攻击。

远程主机上安装的 phpMyAdmin 版本容易遭受通过各种参数和脚本进行的跨站脚本攻击。通过特别构建的 URL，攻击者可引起任意代码执行，从而导致完整性丢失。

远程主机正在运行 TikiWiki，这是一个以 PHP 编写的内容管理系统。

远程主机上正在运行的此软件版本的 tiki-error.php 中存在一个跨站脚本漏洞。远程攻击者可以通过诱骗用户请求恶意构建的 URL 来利用此问题，从而导致执行任意脚本代码。

远程主机运行 Teekai Tracking Online，这是一个用于跟踪网站上用户数量的 PHP 脚本。此版本容易遭受跨站脚本攻击。远程攻击者可以通过诱骗用户请求恶意构建的 URL 来利用此问题，从而导致执行任意代码。

属于 ht: //Dig 程序包的“htsearch”CGI 容易受到通过“words”变量进行的跨站脚本攻击。

通过特别构建的 URL，攻击者可引起任意代码执行，从而导致完整性丢失。

远程主机上安装了 TIPS MailPost，这是一款用于将 HTML 表单数据通过电子邮件发送给第三方的 Web 应用程序。 

启用调试模式时，远程 Web 服务器上托管的 MailPost 版本在 mailpost.exe 的“append”变量中存在一个跨站脚本漏洞。默认情况下启用调试模式。远程攻击者可利用此漏洞冒充合法用户。 

据报告，此 MailPost 版本存在其他漏洞，但 Nessus 尚未这些问题进行检查。

远程主机正在运行 Cherokee，这是一个快捷的微型 Web 服务器。

此软件的远程版本容易遭受跨站脚本攻击，这是对返回错误页面缺少审查所致。

远程主机正在运行至少一个 Horde IMP 实例，其中的“status.php3”脚本容易遭受跨站脚本攻击，这是因为传递至该脚本的信息未得到正确审查。

目标正在运行至少一个 Horde 实例，其中的帮助子系统容易遭受跨站脚本攻击，这是因为传递至帮助窗口的信息未得到正确审查。

远程主机似乎正在运行 MoniWiki，这是一个以 PHP 编写的 wiki Web 应用程序。

此软件的远程版本容易通过“wiki.php”脚本遭受跨站脚本攻击。

通过特别构建的 URL，攻击者可在用户的浏览器中导致任意代码执行，从而导致完整性丢失。

远程主机运行 Faq-O-Matic，这是一个基于 CGI 的系统，可以自动执行 FAQ 维护流程。

此软件的远程版本容易在“fom.cgi”脚本中遭受跨站脚本攻击。

通过特别构建的 URL，攻击者可引起任意代码执行，从而导致完整性丢失。

当请求包含 html 参数的 .nsf 文件时，远程服务器容易遭受跨站脚本攻击，

GET /FormReflectingURLValue?OpenForm&Field=[XSS] 即为一例

远程主机运行 Pinnacle ShowCenter 基于 Web 的界面。

此软件的远程版本容易遭受跨站脚本攻击，这是对 SettingsBase.php 脚本中的 skin 参数缺少健全性检查所致。

通过特别构建的 URL，攻击者可引起任意代码执行，从而导致完整性丢失。

XOOPS 的 weblinks 模块的“/modules/newbb”目录中包含一个名为“viewtopic.php”的文件。该模块的代码未充分筛选出用户提供的数据。“viewtopic.php”使用的 URL 参数可用于将恶意 HTML 和/或 JavaScript 插入网页。

远程主机正在使用 FuseTalk，这是一个基于 Web 的讨论论坛。

“tombstone.cfm”脚本中存在一个漏洞，该漏洞允许攻击者在用户的浏览器环境中执行任意 HTML 和脚本代码。

远程服务器运行的 CjOverkill 版本等于或低于版本 4.0.3，这是一个免费的流量交易脚本。

此软件的远程版本受到“trade.php”脚本中一个跨站脚本漏洞的影响。此问题是应用程序未能正确审查用户提供的输入所致。

远程攻击者可利用此漏洞创建恶意链接，一旦不知情的用户访问该链接，便会在其浏览器中执行链接所包含的脚本代码。 

这可能导致基于 Cookie 的认证凭据遭到窃取和其他攻击。

远程主机上安装的 Invision Power Board 版本容易遭受跨站脚本攻击，此类攻击允许攻击者窃取用户的 Cookie。

目标正在运行至少一个版本号介于 3.0 和 3.2.5 之间（含）的 IMP 实例。当使用 HTML MIME 查看器和某些浏览器查看 HTML 消息时，此类版本容易遭受多个跨站脚本攻击。 

***** Nessus 只通过查看目标上
***** 安装的 IMP 的版本号，

远程主机上安装 PHP-Fusion 版本中存在一个漏洞，该漏洞允许攻击者发起跨站脚本攻击并在用户的浏览器环境中执行任意 HTML 和脚本代码。

WordPress 的远程版本容易遭受跨站脚本攻击，这是应用程序未能正确审查用户提供的 URI 输入所致。

远程攻击者可利用此漏洞创建恶意链接，一旦不知情的用户访问该链接，便会在其浏览器中执行链接所包含的脚本代码。这可能导致基于 Cookie 的认证凭据遭到窃取和其他攻击。

vBulletin 的远程版本容易受到一个跨站脚本问题的影响，这是应用程序未能正确审查用户提供的 URI 输入所致。远程攻击者可利用此漏洞创建恶意链接，一旦不知情的用户访问该链接，便会在其浏览器中执行链接所包含的脚本代码。这可能导致基于 Cookie 的认证凭据遭到窃取和其他攻击。

远程主机正在运行 ViewCVS，这是一个以 Python 编写的工具，用于通过 Web 浏览 CVS 存储库。

远程主机上运行的 ViewCVS 版本有一个跨站脚本漏洞。未正确审查“viewcvs”参数的输入。远程攻击者可以通过诱骗用户请求恶意构建的 URL 来利用此问题，从而导致执行任意脚本代码。

远程主机似乎正在运行 OpenBB，这是一个以 PHP 编写的论坛管理系统。

此软件的远程版本容易通过“board.php”脚本遭受跨站脚本攻击。

使用特别构建的 URL，攻击者可对第三方用户造成任意代码执行，进而导致其系统失去完整性。

根据其标题，vBulletin 的远程版本容易受到一个跨站脚本问题的影响，这是应用程序未能正确审查用户提供的输入所致。 

远程攻击者可利用此漏洞创建恶意链接，一旦不知情的用户访问该链接，便会在其浏览器中执行链接所包含的脚本代码。 

这可能导致基于 Cookie 的认证凭据遭到窃取和其他攻击。

远程主机正在运行的 PostNuke 版本包含“News”模块，该模块本身容易受到跨站脚本问题的影响。

攻击者可能会利用这些缺陷窃取此网站的合法用户的 Cookie。

远程主机似乎正在运行 PhpGroupWare，这是一个以 PHP 编写的多用户群件套件。

存在此问题的原因是缺少对用户所提供数据的审查。
恶意攻击者可利用缺陷进行跨站脚本攻击。

远程主机似乎正在运行更低版本的 OpenCA。 

据报告，0.9.2-RC2 及之前版本的 OpenCA 在处理 Web 表单前端的用户输入时，受到一个 HTML 注入漏洞的影响。此问题可能允许攻击者在受影响应用程序的安全环境中执行恶意 HTML 代码。

远程服务器正在运行的 PsNews（内容管理系统）版本低于 1.2。

此版本受到多个跨站脚本缺陷的影响。攻击者可能会利用这些缺陷窃取此网站合法用户的 Cookie。

远程主机运行 Keene Digital Media Server，这是一款用于共享数字信息的 Web 服务器。 

此版本容易遭受多个跨站脚本攻击。

远程主机上安装的 CuteNews 版本容易遭受跨站脚本 (XSS) 攻击。利用此缺陷的攻击者需要能够强制用户浏览到有目的的恶意 URI。若成功利用此漏洞，攻击者便可在 CuteNews 服务器的安全环境中运行 Web 浏览器内的代码。

远程主机正在运行 dasBlog，这是一个 .NET 博客系统。根据其版本号，此系统容易受到多个跨站脚本问题的影响。据报告，1.6.0 及其之前的版本都易受影响。

应用程序未审查 Referer 和 User-Agent HTTP 标头。攻击者可利用此漏洞来欺骗用户在 Web 服务器的环境中执行任意脚本代码。

根据其标题，远程 Web 服务器运行的 IlohaMail 版本 0.8.10 或更低版本。此类版本未能正确审查“user”参数，便将其用于生成动态 HTML 输出。攻击者可利用此问题将任意 HTML 和脚本代码注入用户的浏览器，并在受影响站点的安全环境中执行。

远程主机正在运行至少一个版本为 0.8.12 或更低版本的 IlohaMail 实例。此类版本未正确审查消息标头，导致用户容易遭受 XSS 攻击。例如，远程攻击者可注入 JavaScript 代码以窃取用户的会话 Cookie，从而获取对该用户帐户的访问权限。

远程 Citrix NFuse 版本存在一个缺陷，可导致远程跨站脚本攻击。攻击者可利用此问题，在受影响网站安全环境内的用户浏览器中执行任意 HTML 或脚本代码。

XOOPS 的远程版本容易遭受多个跨站脚本攻击。攻击者可分别使用“search.php”和“letter.php”脚本的“terme”和“letter”参数来利用攻击。这可用于利用客户端和服务器之间的信任关系，允许恶意用户在客户端的计算机上执行恶意 JavaScript。

根据其标题，远程主机上的 phpScheduleIt 版本低于 1.0.0。此类版本容易受到 HTML 注入问题的影响。例如，如果攻击者有权编辑“计划名称”字段，则他们便可在计划页面中添加恶意的 HTML 和 JavaScript 代码。此字段未经正确审查。显示此计划的受害者 Web 浏览器将执行恶意代码。

远程服务器运行的 Icecast 版本等于或低于版本 1.3.12。

此版本受到状态显示功能中一个跨站脚本漏洞的影响。此问题是应用程序未能正确审查用户提供的输入所致。

远程攻击者可利用此漏洞创建恶意链接，一旦不知情的用户访问该链接，便会在其浏览器中执行链接所包含的脚本代码。 

这可能导致基于 Cookie 的认证凭据遭到窃取和其他攻击。

远程主机正在运行 Plesk Reloaded（来自 SWsoft），这是一款基于 Web 的系统管理工具。 

此软件的远程版本容易遭受跨站脚本攻击，这是因为它未能审查用户对“login_up.php3”脚本的“login_name”参数的输入。此问题可用于利用客户端和服务器之间的信任关系，允许恶意用户在客户端的计算机上执行恶意 JavaScript。

远程主机正在运行 PHP Code Snippet Library (PHP-CSL)，这是一个以 PHP 编写的库。 

此软件的远程版本未能审查对“index.php”脚本的“cat_select”参数提供的输入。这可用于利用客户端和服务器之间的信任关系，允许恶意用户在客户端的计算机上执行恶意 JavaScript。

远程版本的 eGroupware 容易遭受跨站脚本攻击。这允许远程攻击者通过欺骗合法用户点击恶意构建的 URL 来假冒他们，以此窃取他们的 Cookie。

据报告，eGroupware 存在其他跨站脚本漏洞，但 Nessus 尚未对这些问题进行测试。

远程主机正在运行 PhotoADay，这是一个基于 Web 的相册管理软件。安装的版本未能审查传递至“pad_selected”参数的输入，便将其用户生成动态内容。未经身份验证的远程攻击者可能会利用此问题将任意 HTML 或脚本代码注入到用户的浏览器，以便在受影响站点的安全环境中执行。

根据其标题，Mantis 的远程版本在处理某些类型的输入时存在一个缺陷。因此，攻击者可以在受影响网站的安全环境内的用户浏览器中执行任意 HTML 和脚本代码。

根据其版本号，远程主机上安装的 Sympa 包含一个 HTML 注入漏洞，该漏洞可能允许有权创建新列表的用户在列表描述字段中注入 HTML 标记。

根据其标题，远程主机上的 CuteNews 版本受到一个跨站脚本 (XSS) 漏洞的影响，这是无法审查对 show_archives.php 脚本的“archive”参数的输入所致。未经身份验证的远程攻击者可利用此问题，通过特制的请求，在用户浏览器会话中执行任意脚本代码。

远程主机上的 Moodle 版本包含一个允许远程跨站脚本攻击的缺陷，这是应用程序在提交到“post.php”脚本时未正确验证“reply”变量所致。

该漏洞允许用户创建特别构建的 URL，以在浏览器与服务器之间的信任关系中的用户浏览器中执行任意代码，进而导致完整性丢失。

远程主机似乎正在运行 BasiliX 版本 1.1.1 或更低版本。此类版本容易遭受跨脚本攻击，攻击者可能会利用此攻击，通过读取包含特别构建的 Content-Type 标头的 MIME 消息导致受害者在不知情的情况下在其浏览器中运行任意 JavaScript 代码。

远程主机似乎正在运行 WackoWiki CGI 套件。 

根据 Nessus 收集的版本信息，此 WackoWiki 实例可能容易遭受远程身份验证攻击。 

利用此漏洞可能允许窃取基于 Cookie 的身份验证凭据，并允许跨站脚本攻击。

ID	名称	严重性
15864	InMail/InShop inmail.pl / inshop.pl XSS	medium
15859	YaBB Shadow BBCode 标签 XSS	medium
15850	phpCMS parser.php 文件参数 XSS	medium
15785	Aztek Forum 多个脚本 XSS	medium
15770	phpMyAdmin < 2.6.0-pl3 多个 XSS	medium
15709	TikiWiki tiki-error.php XSS	medium
15707	TeeKai 在线跟踪 XSS	medium
15706	ht: //Dig htsearch.cgi words 参数 XSS	medium
15626	TIPS MailPost append 参数 XSS	medium
15618	Cherokee Web 服务器错误页面 XSS	medium
15616	Horde IMP status.php3 script 参数 XSS	medium
15605	Horde Application Framework Help Window 多个参数 XSS	medium
15566	MoniWiki < 1.0.9 wiki.php XSS	medium
15540	Faq-O-Matic fom.cgi 多个参数 XSS	medium
15514	IBM Lotus Notes/Domino 方括号编码失败 XSS	medium
15485	Pinnacle ShowCenter SettingsBase.php Skin 参数 XSS	medium
15480	XOOPS viewtopic.php 多个参数 XSS	medium
15479	FuseTalk Forum img src 标签 XSS	medium
15462	CjOverkill transaction.php 多个方法 XSS	medium
15425	Invision Power Board Referer 字段 XSS	medium
15393	Horde IMP HTML MIME Viewer 多个 XSS	medium
15392	PHP-Fusion homepage address 参数 XSS	medium
14836	WordPress < 1.2.2 多个 XSS	medium
14833	vBulletin memberlist.php what 参数 XSS	medium
14823	ViewCVS viewcvs.cgi 多个参数 XSS	medium
14822	OpenBB board.php FID 参数 XSS	medium
14792	vBulletin newreply.php WYSIWYG_HTML 参数 XSS	medium
14727	PostNuke News Module article.php sid 参数 XSS	medium
14708	phpGroupWare Wiki 模块 XSS	medium
14700	OpenCA 客户端系统浏览器表单输入字段 XSS	medium
14685	PsNews index.php 多个参数 XSS	medium
14681	Keene Digital Media Server 多个脚本 XSS	medium
14665	CuteNews index.php mod 参数 XSS	medium
14639	DasBlog Activity / Event Viewer 多个 HTTP 标头 XSS	medium
14637	IlohaMail 用户参数 XSS	medium
14634	IlohaMail 电子邮件标头 XSS	medium
14626	Citrix NFuse 启动脚本“NFuse_Application”参数 XSS	medium
14614	XOOPS <= 1.0 字典模块多个脚本 XSS	medium
14613	phpScheduleIt 1.0.0 RC1 多个 XSS	medium
14390	Icecast list.cgi User-Agent XSS	medium
14369	Plesk Reloaded login_up.php3 login_name 参数 XSS	medium
14368	PHP Code Snippet Library index.php 多个版本 XSS	medium
14358	eGroupWare <= 1.0.00.003 多个模块 XSS	medium
14357	PHP-Nuke PhotoADay Module pad_selected 参数 XSS	medium
14344	Mantis < 0.18.1 多个不明 XSS	medium
14323	Sympa 新列表创建描述字段 XSS	low
14318	CuteNews show_archives.php archive 参数 XSS	medium
14257	Moodle“post.php”“reply”参数 XSS	medium
14307	BasiliX Webmail Content-Type 标头 XSS	medium
14230	WackoWiki TextSearch phrase 参数 XSS	medium

检测

Nessus 的 CGI abuses : XSS 系列

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

low

medium

medium

medium

medium