Межсайтовый скриптинг в GuppY

Дата публикации:
02.10.2003
Дата изменения:
17.10.2006
Всего просмотров:
1117
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: GuppY до версии 2.4p1

Описание: Уязвимость в проверке правильности входных данных обнаружена в GuppY. Удаленный пользователь может выполнить XSS нападение.

Файл 'postguest.php' не фильтрует HTML код в данных, представленных пользователем в нескольких переменных. В частности, код не фильтруется в тэге codecolor '[c]'.

Пример/Эксплоит:

[c=expression(alert('unsecure'))]texte[/c]

URL производителя: http://www.freeguppy.org/

Решение: Производитель выпустил обновленную версию (2.4p1) программы: http://www.freeguppy.org/file/guppy.zip

Ссылки: ECHU.ORG Alert #4: GuppY makes XSS attacks easy

или введите имя

CAPTCHA