phpwind 8.x全版本存储型xss漏洞（捡的）

在某个学校读书，然后某个学校的论坛是用phpwind 8.7的，在wooyun搜到一个储存型漏洞，

祸不单行的事情又发生了，因为phpwind已经是9.0版本了，去看了下9.0版本没发现有这个功能，所以自评rank2分。不知道能过审核不！

http://**.**.**.**/bugs/wooyun-2010-058983

这个漏洞

http://**.**.**.**/files/pic/pic9/201404/apic493.jpg#');alert(/xss/)//

在个人空间有个日志功能，在日志内容插入此代码也可以xss

8.x版本都存在吧。

- -

上次怎么修这次还怎么修

厂商回应：

危害等级：低

漏洞Rank：2

确认时间：2014-09-22 09:37

厂商回复：

感谢您对我们的支持与关注，该问题我们正在修复。

最新状态：

暂无

1. 2014-09-19 11:47 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号，不装逼了，再见孩子们。by Mosua...)

   0

   @疯狗 这个内部评估中什么意思？

   1# 回复此人

2. 2014-09-22 11:24 | 黑侠 ( 路人 | Rank:1 漏洞数:1 | 帮助别人，等于帮助自己)

   1

   @Mosuan 漏洞应该不触及安全吧，所以厂商才给这么点吧？

   2# 回复此人

3. 2014-09-22 11:47 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号，不装逼了，再见孩子们。by Mosua...)

   1

   @黑侠 触及了，只是不是最新版本，这里是8.x的

   3# 回复此人

4. 2014-09-22 17:20 | 黑侠 ( 路人 | Rank:1 漏洞数:1 | 帮助别人，等于帮助自己)

   0

   @Mosuan http://www.phpwind.net/read/3409726补丁出来了

   4# 回复此人

5. 2014-09-22 19:09 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号，不装逼了，再见孩子们。by Mosua...)

   0

   @黑侠 soga不错，还被感谢了一次。

   5# 回复此人

6. 2014-09-26 08:51 | 心伤的黑子 ( 路人 | Rank:15 漏洞数:4 | "><img>bbb)

   0

   大牛！

   6# 回复此人