Множественные уязвимости в PHPX

Дата публикации:
19.03.2004
Дата изменения:
10.11.2008
Всего просмотров:
1165
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PHPX 3.x
PHPX 2.x
Уязвимые версии: PHPX 3.2.3 и более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и спцфинг атаку.

1. Уязвимость существует из-за недостаточной обработки входных данных в поле темы в Personal Messages и Forum, в параметрах "keywords" и "body" в сценариях main.inc.php и help.inc.php. Удаленный пользователь может с помощью специально сформированного запросы выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за генерации небезопасного значения для параметра "PXL" в файле куки. Удаленный пользователь может предсказать последующее значение параметра "PXL" и внедриться в сессию целевого пользователя.

URL производителя: www.phpx.org

Решение: Установите последнюю версию 3.2.4 с сайта производителя.

Журнал изменений:

10.11.2008
Обновлено описание уязвимостей.

Ссылки: PHPX 2.x - 3.2.4
http://milw0rm.com/exploits/6176

или введите имя

CAPTCHA