Неавторизованные действия в AOL Instant Messenger

Дата публикации:
22.07.2002
Всего просмотров:
704
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость в клиенте AOL Instant Messenger позволяет злонамеренно обработанному HTML выполнять неавторизованные действия (типа добавлению записей к buddy list) от имени пользователя уязвимого клиента. Пример:
<META HTTP-EQUIV="refresh"CONTENT=0;
URL=aim:addbuddy?listofscreennames=mindfliporg,mfliporb,mflipmax,
mflips0nic,mflipzorcon&groupname=mindfliporg> 
Web страница, содержашая такой код в тэге META REFRESH автоматически добавит группу mindfliporg и добавит пользователей mindfliporg, mfliporb, mflipmax, mflips0nic, mflipzorcon к buddy list.

Уязвимость обнаружена в AOL Instant Messenger 4.5- 4.7.2480

Ссылки: AIM forced behavior "issue"

или введите имя

CAPTCHA