Security Lab

Межсайтовый скриптинг в myPHPNuke

Дата публикации:13.01.2003
Всего просмотров:899
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: myPHPNuke – Web портальная система, основанная на PHPNuke.

В программе обнаружена уязвимость межсайтового скриптинга в нескольких сценариях. Уязвимость может использоваться для внедрения произвольного HTMl или Javascript кода в существующие Web станицы и перехвата чувствительных данных, хранящихся в куки. Пример:

http://victim/html/partner.php?mainfile=anything&Default_Theme='<script>aler
t(document.cookie);</script>

http://victim/html/chatheader.php?mainfile=anything&Default_Theme='<script>a
lert(document.cookie);</script>
Уязвимость обнаружена в myPHPNuke 1.8.8
Ссылки: phpmynuke css and phpinfo() vuls