VULHUB ™

LimeSurvey（前称PHPSurveyor）是LimeSurvey团队开发的一套开源的在线问卷调查程序，它支持调查程序开发、调查问卷发布以及数据收集等功能。 LimeSurvey 2.05+ Build 140618版本中存在三个跨站脚本漏洞，这些漏洞源于CPDB的application/controllers/admin/participantsaction.php脚本没有充分过滤‘getAttribute_json’函数中的pid属性，application/views/admin/globalSettings_view.php脚本没有充分过滤‘sa’参数，‘Import CSV’功能没有充分过滤CSV文件。远程攻击者可利用这些漏洞注入任意Web脚本或HTML。

LimeSurvey（前称PHPSurveyor）是LimeSurvey团队开发的一套开源的在线问卷调查程序，它支持调查程序开发、调查问卷发布以及数据收集等功能。 LimeSurvey 2.05+ Build 140618版本中存在三个跨站脚本漏洞，这些漏洞源于CPDB的application/controllers/admin/participantsaction.php脚本没有充分过滤‘getAttribute_json’函数中的pid属性，application/views/admin/globalSettings_view.php脚本没有充分过滤‘sa’参数，‘Import CSV’功能没有充分过滤CSV文件。远程攻击者可利用这些漏洞注入任意Web脚本或HTML。