Межсайтовый скриптинг в NullSoft Winamp

Дата публикации:
08.08.2002
Всего просмотров:
731
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Тэг ID3v2 в mp3 файле содержит некоторую информацию о mp3 файле (артист, название, альбом и т.п.). Winamp также поддерживает создание HTML playlist из winamp playlist. В процессе преобразования используются только поля ‘artist' и 'title'. В полях 'artist' и 'title' возможно включить произвольный CSS код, который будет выполнен при просмотре html playlist в браузере по умолчанию с настройками безопасности “Local Security Zone”.

Пример (добавте в тэг поля ‘artist' или 'title'):

<script> 
alert ("HI!!!"); </script>
 
уязвимость обнаружена в NullSoft Winamp 2.76-2.79

Ссылки: CSS bug in Winamp
или введите имя

CAPTCHA