Межсайтовый скриптинг и раскрытие информации в Justice Guestbook (JGB).

Дата публикации:
02.04.2003
Всего просмотров:
955
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Justice Guestbook 1.x
Описание: Уязвимость в проверке правильности ввода обнаружена в Justice Guestbook (JGB). Удаленный пользователь может выполнить XSS нападение и раскрыть чувствительную информацию о системе.

F0KP сообщил, что сценарий jgb.php3 не проверяет переменные $name $homepage, $aim, $yim, $location и $comment. В результате удаленный пользователь может вставить произвольный HTML или JavaSript код в эти переменные, чтобы выполнить различные нападения против пользователей Justice Guestbook (JGB):

 
http://hostname/jgb_eng_php3/jgb.php3
Также сообщается, что при запросе сценария cfooter.php3 вылезет сообщение об ошибке, которое содержит информацию о физическом местоположении wwwroot:
http://hostname/jgb_eng_php3/cfooter.php3 

=================================================================
Fatal error: Call to undefined function: getsets() in 
/homepages/12/d13457710/htdocs/underground/guestbook/cfooter.php3 
on line 31
=================================================================
Уязвимость обнаружена в Justice Guestbook 1.3

Ссылки: Justice Guestbook 1.3 vulnerabilities
или введите имя

CAPTCHA