Межсайтовый скриптинг в разрешенных тэгах в phpBB2

Дата публикации:
09.12.2002
Дата изменения:
17.10.2006
Всего просмотров:
1206
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: phpBB – отрыто исходная доска объявлений для UNIX и Windows систем.

Обнаружено несколько проблем при фильтрации ввода пользователя. Одна из возможных конфигурации PHPbb2 позволяет использовать некоторые HTML тэги для форматирования текста. Внутри этих тэгов можно вставить произвольный код сценария, который не будет отфильтрован. Уязвимость может использоваться для кражи опознавательной информации, хранящейся в куки пользователя, просмотревшего страницу со злонамеренным постингом. Примеры:

<b onMouseOver="alert(document.location);">This piece of text could be
dangerous if you were to move your mouse over it!</b>
<i onClick="alert(document.location);">This piece of text could be dangerous
if you were to click it!</i>
<u onClick="alert('Hello');">This piece of text could be dangerous if you
were to click it!</u>
уязвимость обнаружена в phpBB2 2.0.3

Ссылки: Local scripting vulnerability in phpBB
или введите имя

CAPTCHA