Межсайтовый скриптинг в FAQ-O-Matic

Дата публикации:
06.02.2002
Всего просмотров:
738
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: FAQ-O-Matic – свободно доступный FAQ (Frequently Asked Questions) менеджер. Для Linux и Unix систем.

Faq-O-Matic не фильтрует код сценария от URL параметров. Нападающий можно создать злонамеренную ссылку, содержащую произвольный код сценария. Когда пользователь просматривает такую ссылку, код сценария будет выполнен в браузере пользователя в контексте сайта, выполняющего Faq-O-Matic.

В результате, удаленный нападающий может перехватывать опознавательные данные на основе куки от законного пользователя.

Уязвимость найдена в FAQ-O-Matic 2.712

Пример:

http://faqomaticsite/cgi-bin/fom/fom.cgi?cmd=<script>alert("superpetz")</script>&file=1&keywords=superpetz

Ссылки: Источник

или введите имя

CAPTCHA