Изменение представления форума в Invision Power Board

Дата публикации:
06.08.2003
Дата изменения:
17.10.2006
Всего просмотров:
2114
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость в проверке правильности ввода обнаружена в Invision Power Board. Удаленный авторизованный пользователь может послать сообщение, которое изменит вид форума и потенциально изменит URL ссылки в форуме.

Программное обеспечение должным образом не обрабатывает перекрывающиеся IBF тэги (например '[QUOTE]', '[IMG]'). В результате удаленный авторизованный пользователь может перекрыть QUOTE тэг с IMG тэгом таким образом, чтобы закрыть нераскрытую кавычку. В результате удаленный авторизованный пользователь может изменить представление форума. Пример:

[IMG]http://[target]/some.gif[QUOTE]some.gif[/IMG][/QUOTE]

Ссылки: Invision Board spoof and defacement