Security Lab

Межсайтовый скриптинг в vCard4J Toolkit

Дата публикации:04.01.2004
Всего просмотров:1010
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: vCard4J Toolkit

Описание: Уязвимость в проверке правильности входных данных обнаружена в vCard4J Java-based vCard toolkit. Удаленный пользователь может выполнить XSS нападение.

В конфигурации по умолчанию, программа не фильтрует HTML код в данных, представленных пользователем при создании card файлов.

Пример/Эксплоит:

  <vCard:GROUP>
     <rdf:bag>
       <rdf:li rdf:parseType="Resource">
         <vCard:NICKNAME> Corky Porky </vCard:NICKNAME>
         <vCard:NOTE> Only used by close friends porky pork pork </vCard:NOTE>
       </rdf:li>        <rdf:li rdf:parseType="Resource">
         <vCard:NICKNAME> Princess Corky the pork snorter <script>alert('cork+kork+your+sniffy+sniff+')</script></vCard:NICKNAME>
         <vCard:NOTE> Only used by my egg pups in the loungeroom and also justin winamp goblin</vCard:NOTE>
       </rdf:li>
     </rdf:bag>
   </vCard:GROUP>

URL производителя:http://vcard4j.sourceforge.net

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Possible XSS vuln in VCard4J