Межсайтовый скриптинг в Tell Your Friends

Дата публикации:
15.07.2002
Дата изменения:
17.10.2006
Всего просмотров:
837
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Tell Your Friends (www.cgitoolbox.com) - сценарий, с помощью которого вы можете рекомендовать страницу друзьям по e-mail. Из-за недостаточной фильтрации в полях формы, удаленный атакующий может сконструировать специальный скрипт, содержащий произвольный html или javascript код, который будет выполнен в браузера пользователя в контексте уязвимого сайта. Пример:
http://www.cgitoolbox.com/cgi/friends/send/mail-form.cgi?
action=newemail&admin_email=support@microsoft.com&
admin_graphic=http://www.epacep.com/new.gif&admin_
url=www.epacep.com&admin_sitename=name&
message=visit%20www.microsoft.com&emailit=
1&senders_name=><script>alert(document.cookie)</script>
&senders_email=tut@mail.com
&rec_name=imya&rec_email=komu@shlem.ru

Уязвимость обнаружена в Tell Your Friends 1.0

Уязвимость найдена Eraser(er4s3r@mail.ru)

Ссылки: Advisory by Eraser #2

или введите имя

CAPTCHA