Cross-site scripting в WebSight Directory System

Дата публикации:
27.03.2002
Всего просмотров:
736
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: WebSight Directory System не фильтрует код сценария в URL параметрах. В результате, удаленный нападающий может создать злонамеренную ссылку, содержащую код сценария, который будет выполнен в браузере законного пользователя, в контексте сайта, выполняющего WebSight. Уязвимость позволяет перехватывать опознавательные мандаты на основе куки.
Уязвиомость найдена в WebSight Directory System 0.1
Пример:
<script>bad=window.open("http://example.com/portal/administration/
userman.php?uname=black&newpass=hat&submituser=ok", "bad",
"width=1,height=1");bad.close();</script>
 
или введите имя

CAPTCHA