Вставка javascript и php кода в x-dev.de Guestbook

Дата публикации:
17.04.2002
Всего просмотров:
1268
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: x-dev.de Guestbook – сценарий для создания Guestbook.

Уязвимость позволяет вставлять произвольный javascript код в тэг {img}, удалять данные через PHP код и возможно выполнять произвольный код.

Пример:

1. Cross-site scripting: [img]javascript:alert('This Guestbook allows Cross Site Scripting');[/img]

2. Код <?php echo"delete datafile";?> вставленный в поле типа "Ihr Name", "Ihre eMail", "Homepage-Name" or "Homepage-URL" удалит datafile.

Ссылки: Источник

или введите имя

CAPTCHA