Межсайтовый скриптинг в PhpBB форуме

Дата публикации:
22.09.2003
Всего просмотров:
2015
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
phpBB 2.x
Уязвимые версии: phpBB 2.0.x

Описание: Уязвимость обнаружена в PhpBB. Удаленный авторизованный администратор может выполнить XSS нападение против других администраторов форума.

Удаленный администратор может сконструировать специально обработанную smiley панель таким образом, чтобы выполнить произвольный код сценария в браузере другого администратора, просматривающего эту панель.

Пример/Эксплоит: Поместите в smiley панель:

:)<script>alert('Css work')</script>

URL производителя: http://www.phpbb.com/

Решение: Ограничьте доступ к форуму только доверенным администраторам.

Ссылки: PhpBB Admin smiley panel CSS

или введите имя

CAPTCHA