ScozBook 存在多个缺陷

涉及程序：
ScozBook BETA 1.1
 
描述：
ScozBook 存在多个缺陷
 
详细：
ScozBook是一款php和MYSQL guestbook，包含适合用户需要的自动安装,HTML过滤，swear过滤，emoticons和容易使用的管理中心。ScozBook存在多个缺陷：
1、脚本注入：
add.php 脚本不能正确的检查变量：$username,$useremail, $aim, $msn, $sitename和$siteaddy。因此，攻击者通过精心构造并使用下列格式的临时URL能在变量中注入恶意java脚本代码：
http://hostname/scozbook/add.php

2、路径揭露：
通过使用PG参数调用不存在的view.php脚本，将导致攻击者获得guestbook全部的系统路径：
http://hostname/scozbook/view.php?PG=any_bullshit
 
攻击方法：
示例代码1：
http://hostname/scozbook/add.php

示例代码2：
http://hostname/scozbook/view.php?PG=any_bullshit
 
解决方案：
目前厂商未公布该缺陷补丁，请用户及时关注厂商站点：
http://scripts.scoznet.com/
 
附加信息：
无