Межсайтовый скриптинг в Drupal

Дата публикации:
30.09.2002
Дата изменения:
17.10.2006
Всего просмотров:
1488
Опасность:
Низкая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
phpWebSite 0.x
Xoops 2.x
PHP-Nuke 6.x
NPDS 4.x SuperCache
daCode 1.x
Drupal 4.x
Drupal 3.x
Описание: Drupal (http://www.drupal.org/) – система публикации новостей и управления содержанием.

Drupal не достаточно фильтрует опасный HTML код при публикации новостей. В результате возможно создание новости, содержащей злонамеренный HTML код, который будет выполнен в браузере пользователя, просматривающего такую новость. Уязвимость может использоваться для организации различных нападений против Web приложений.

Пример:

<IMG SRC="javascript:alert('unsecure')">
Уязвимость обнаружена в Drupal 4.0

Ссылки: ECHU Alert #2: IMG Attack in the news : 6 CMS vulnerables
или введите имя

CAPTCHA