Microsoft内容管理服务器跨站脚本漏洞

    MicrosoftContentManagementServer2002SP2

    MicrosoftContentManagementServer2001SP1

    描述

    BUGTRAQID:22860

    Microsoft内容管理服务器（MCMS）是一款企业WEB级别内容管理系统，可以构建、配置、维护公司Internet、Intranet、ExtranetWeb环境。

    Microsoft内容管理服务器没有充分地验证HTML重新定向查询中的输入，允许攻击者执行跨站脚本攻击，导致访问受影响系统上某一用户可访问的任意数据；此外攻击者还可以利用这个漏洞修改Web浏览器缓存和直接代理服务器缓存，并在这些缓存中放置欺骗内容。

    建议临时解决方法

    *将MCMS站点设置为“是-只读”，禁止内容创作以及从站点管理器访问该MCMS服务器入口点

    1.依次单击“开始”、“程序”，选择“Microsoft内容管理服务器”。

    2.单击“服务器配置应用程序”。

    3.单击“Web”选项卡，然后选择“配置”。

    4.在您希望配置的MCMS网站的对话框中，选择“是-只读”。

    5.单击“确定”保存更改。