Межсайтовое выполнение сценариев в Snitz Forums 2000

Дата публикации:
19.06.2004
Дата изменения:
17.10.2006
Всего просмотров:
2220
Опасность:
Средняя
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Snitz Forums 2000 3.4.x
Уязвимые версии: Snitz Forums 2000 3.4.04 и, возможно, ранние версии

Описание: Обнаружена уязвимость в Snitz Forums 2000. Удаленный атакующий может получить доступ к важным данным пользователей с помощью XSS.

Уязвимость существует в register.asp из-за некорректной фильтрации HTML кода в поле e-mail. Удаленный атакующий может во время регистрации указать в качестве e-mail злонамеренный код, который будет выполнен в браузере пользователя в контексте безопасности сайта при попытке отослать письмо злоумышленнику.

Пример/Эксплоит:
p@p" onMouseOver="alert(document.cookie);

URL производителя: http://forum.snitz.com

Решение: Установите исправление:
http://forum.snitz.com/forum/topic.asp?TOPIC_ID=53360

Ссылки: Snitz Forums 2000 Input Validation Flaw in 'register.asp' Lets Remote Users Conduct Cross-Site Scripting Attacks

или введите имя

CAPTCHA