Неавторизованные действия в AOL Instant Messenger
| Дата публикации: | 22.07.2002 |
| Всего просмотров: | 980 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Уязвимость в клиенте AOL Instant Messenger позволяет злонамеренно обработанному HTML выполнять неавторизованные действия (типа добавлению записей к buddy list) от имени пользователя уязвимого клиента. Пример:
<META HTTP-EQUIV="refresh"CONTENT=0; URL=aim:addbuddy?listofscreennames=mindfliporg,mfliporb,mflipmax, mflips0nic,mflipzorcon&groupname=mindfliporg>Web страница, содержашая такой код в тэге META REFRESH автоматически добавит группу mindfliporg и добавит пользователей mindfliporg, mfliporb, mflipmax, mflips0nic, mflipzorcon к buddy list. Уязвимость обнаружена в AOL Instant Messenger 4.5- 4.7.2480 |
| Ссылки: | AIM forced behavior "issue" |