Межсайтовый скриптинг в TSguestbook

Дата публикации:
02.09.2003
Всего просмотров:
889
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
TSguestbook 2.x

Программа: TSguestbook 2.x

Наличие эксплоита: Да

Описание: Уязвимость в проверке правильности входных данных обнаружена в TSguestbook. Удаленный атакующий может выполнить XSS нападение.

Программное обеспечение не фильтрует пользовательские данные в поле Message. Удаленный атакующий может вставить произвольный код сценария в поле Message, который будет выполнен в браузере пользователя, просматривающего злонамеренное сообщение. Уязвимость может использоваться для перехвата опознавательных данных, хранящихся в куки целевого пользователя.

Пример/Эксплоит:

 
Name: Zone-h Security Team

Email: test@test.com

ICQ: 11111111

Homepage: http://www.zone-h.org

Message:<script>alert('Zone-H')</script>

URL производителя: http://www.tsinter.net

Решение:

Официального решения не существует в настоящее время. В качестве временного решения проблемы, отредактируйте исходный код программы, используйте фильтрующий HTTP прокси или откажитесь от использования уязвимого программного обеспечения.

Ссылки: ZH2003-26SA (security advisory): TSguestbook Ver. 2.1 Cross-Site Scripting Vulnerability
или введите имя

CAPTCHA