漏洞类型：

跨站脚本反击（XSS）

所属建站程序：

帝国cms

所属服务器类型：

通用

所属编程语言：

PHP

叙述：

帝国cms编辑器中存有xss跨站，$InstanceName参数外部以获取直接输入

危害：

1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录，更甚至可以修改网页呈现出给其他用户的内容
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞去展开攻击，从而来达至以获取其他的用户信息目的。

解决方案：

修正目录/e/admin/ecmseditor/infoeditor/epage/和/e/data/ecmseditor/infoeditor/epage中

TranFile.php
TranFlash.php
TranImg.php
TranMedia.php

这个四个文件

$InstanceName=$_GET['InstanceName'];

改成

$InstanceName=htmlspecialchars($_GET['InstanceName']);