Межсайтовый скриптинг в Mailman

Дата публикации:
28.01.2003
Дата изменения:
17.10.2006
Всего просмотров:
606
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Mailman 2.x
Описание: Уязвимость проверки правильности ввода обнаружена в Mailman mailing list. Удаленный пользователь может выполнить XSS атаку против Mailman пользователей и администраторов.

По сообщениям, переменная 'email' на Web интерфейсе не достаточно фильтрует HTML код в пользовательских данных. В результате удаленный пользователь может сконструировать URL, который при загрузке пользователем выполнит произвольный код сценария в браузере пользователя Mailman системы. Пример:

https://[target]:443/mailman/options/yourlist?
language=en&email=<SCRIPT >alert('Can%20Cross%20Site%20Attack')</SCRIPT>
Уязвимость обнаружена в Mailman 2.1

Ссылки: Mailman: cross-site scripting bug
или введите имя

CAPTCHA