漏洞编号：PEAS20070827

危害程度：轻

影响版本：动易4.03、2005、2006 所有版本（包括免费版、商业SQL版及Access版），正式版、SP1、SP2、SP3、SP4、SP5、SP6都受此影响。

漏洞描述：因为动易系统的用户发表文章、软件、图片、留言、短消息等功能支持HTML，虽然动易在保存相关内容时对跨站脚本攻击进行了过滤，但过滤函数存在着一个漏洞，致使攻击者可以通过在内容中输入特殊设计的攻击脚本，提交后，管理员在查看这些内容时，跨站攻击脚本就会运行，将管理员用户名、密码加密值、管理认证码发送到攻击者指定的页面。如果你的网站没有启用这些功能，则是安全的。

跨站脚本攻击已经是目前除了注入漏洞攻击外最为常用的攻击方式，其攻击方式非常灵活多变，因而对跨站脚本攻击的防范则相当困难，几乎目前所有支持HTML的系统都或多或少存在这方面的漏洞。动易CMS2007在这方面做了大量的工作，对跨站脚本进行了严密的过滤，可以有效的防范跨站脚本攻击。

我们在发现此漏洞后，将动易2006版的相关过滤函数重新写了一遍，将动易CMS2007中的相关算法部分移植了过来（因为ASP.NET和ASP的不同，在ASP.NET中的有些功能无法在ASP中实现，所以只是部分移植了过来）。

解决方法：下载官方组件进行更新。如果是虚拟主机用户，请联系主机商进行更新。一台服务器只要更新了最新组件，主机上的所有用户都会受到保护。为了您的网站安全，最好在更新了组件后，重新将所有管理员的密码、管理认证码都改一下。

补丁文件：http://www.powereasy.net/Soft/PE_soft/236.html

如何检查是否已经安装了最新组件？

包含此漏洞补丁的最新组件版本为1.8.3或以上。如果低于此版本，则意味着有此漏洞。

PS：本次漏洞更新中附带着修复了一些SP6存在的小BUG。因为都是一些很少见的小BUG，就不一一列举了。

2007-8-28对组件进行了更新（版本号为1.8.4），修复了1.8.3版本的组件中的一个问题：

安装1.8.3版本的组件后，会造成文章内容中的Flash、视频文件无法播放。因为<OBJECT或<PARAM这样的代码是跨站攻击脚本的一种攻击方式（详见：< FONT>http://ha.ckers.org/xss.html），而目前我们没有好的办法区分正常的视频代码还是恶意攻击代码，所以在1.8.3的过滤函数中过滤掉了这些代码。

最新的1.8.4版本的组件修改了处理方式，由1.8.3的保存和显示时都过滤，改为只在会员后台保存时过滤，前台显示及管理员录入时不再过滤。管理员查看时会判断是否是管理员录入的，如果是，则不过滤，如果是会员录入的，则过滤。这样的设计可以解决大部分可用性问题，但会存在着一些小小的安全隐患。没有办法，只能在可用性和安全之间进行取舍和平衡了。