Межсайтовый скриптинг в PostNuke

Дата публикации:
12.08.2003
Всего просмотров:
930
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость в проверке правильности ввода обнаружена в PostNuke. Удаленный пользователь может выполнить XSS нападение.

Переменная 'ttitle' в модулях 'Downloads' и 'Web_Links' не фильтрует HTML код в данных, представленных пользователем. Пример:

http://[HOST]/[PATH]/modules.php?
op=modload&name=Downloads&file=index&req=viewdownloaddet ails&lid=[ID]
&ttitle=[Yeye XSS ;-)]"%3e[XSS ATTACK]

http://[HOST]/[PATH]/modules.php?
op=modload&name=Web_Links&file=index&req=viewlinkdetails&lid=[ID]
&ttitle=[MO RE ? ;-(]"%3e[XSS ATTACK]
Уязвимость обнаружена в PostNuke 0.7.2.3

Ссылки: PostNuke Downloads & Web_Links ttitle variable XSS
или введите имя

CAPTCHA