Внедрение HTML кода в приватные сообщения в PHP-Nuke (PostNuke )

Дата публикации:
21.08.2002
Всего просмотров:
1432
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: PHP-Nuke – популярная портальная система, разработанная в PHP.

PHP-Nuke позволяет пользователям посылать приватные сообщения друг другу. В эти сообщения можно включить произвольный HTML код, включая JavaScript. Код выполниться в браузере пользователя, просматривающего такое сообщение, в контексте уязвимого сайта. Такое сообщение может быть послано администратору системы. Так как PHPNuke хранит куки в base64, то уязвимость позволяет получить административные опознавательные данныею.

Уязвимость обнаружена в Francisco Burzi PHP-Nuke 5.0- 5.6, PostNuke Development Team PostNuke 0.62-0.703

Ссылки: PHP-Nuke v5.6 - Users can compromise admin accts.
Эксплоит

или введите имя

CAPTCHA