cross-site scripting для GNU Mailman

Дата публикации:
04.12.2001
Всего просмотров:
679
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

GNU Mailman - свободно доступный менеджер списка рассылки, написанный на Python и C.
Mailman склонен к cross-site scripting атаке. Возможно включить злонамеренный код в ссылку к сайту, на котором выполняется Mailman. Когда Web пользователь нажимает злонамеренно созданную ссылку, код сценария будет выполнен в контексте сайта Mailman. Эта уязвимость позволяет собирать информацию о пользователе или получать доступ к опознавательной информации на основе cookie.
Пример:
http://www1.dshield.org/mailman/listinfo/<img%20src=javascript:alert(document.domain)>;
http://mail.gnu.org/mailman/listinfo/<img%20src=javascript:alert(document.domain)>;
http://lists.bell-labs.com/mailman/listinfo/<img%20src=javascript:alert(document.domain)>;
http://mail.gnome.org/mailman/listinfo/<img%20src=javascript:alert(document.domain)>;
http://www.lists.apple.com/mailman/listinfo/<img%20src=javascript:alert(document.domain)>;


Уязвимость найдена в GNU Mailman 2.0-2.0.7
 



Ссылки: http://prdownloads.sourceforge.net/mailman/mailman-2.0.8.tgz
или введите имя

CAPTCHA