Security Lab

Внедрение HTML кода в приватные сообщения в PHP-Nuke (PostNuke )

Дата публикации:21.08.2002
Всего просмотров:1744
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: PHP-Nuke – популярная портальная система, разработанная в PHP.

PHP-Nuke позволяет пользователям посылать приватные сообщения друг другу. В эти сообщения можно включить произвольный HTML код, включая JavaScript. Код выполниться в браузере пользователя, просматривающего такое сообщение, в контексте уязвимого сайта. Такое сообщение может быть послано администратору системы. Так как PHPNuke хранит куки в base64, то уязвимость позволяет получить административные опознавательные данныею.

Уязвимость обнаружена в Francisco Burzi PHP-Nuke 5.0- 5.6, PostNuke Development Team PostNuke 0.62-0.703

Ссылки: PHP-Nuke v5.6 - Users can compromise admin accts.
Эксплоит