Несколько уязвимостей в myGuestBk

Дата публикации:
01.04.2003
Всего просмотров:
858
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
myGuestBk 1.x
Описание: Уязвимость в проверке правильности ввода обнаружена в myGuestBk (также, известной как 'my guest book'). Удаленный пользователь может выполнить XSS нападение. Также удаленный пользователь может получить административный доступ.

Как сообщает DWC Gr0up, сценарий не фильтрует HTML код в имени электронной почты или сообщениях гостевой книги, представленные пользователям. В результате удаленный пользователь может выполнить произвольный код сценария в контексте уязвимого сайта:

http://[target]/myguestBk/add1.asp?name=Name&subject=Subj&email=M@IL&message=<script>alert ("Test!")</script>
Также удаленный пользователь может получить доступ к административному интерфейсу, запрашивая следующий URL:
 
http://[target]/myguestBk/admin/index.asp
Удаленный пользователь может также удалять записи в гостевой книге, используя URL:
http://[target]/myguestBk/admin/delEnt.asp?id=[NEWSNUMBER]


Ссылки: Vulnerability in my guest book
или введите имя

CAPTCHA