Межсайтовый скриптинг в параметрах title and event в phpEventCalendar

Дата публикации:
28.01.2005
Всего просмотров:
878
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: phpEventCalendar 0.2

Описание:
Уязвимость в phpEventCalendar позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным пользователей.

Уязвимость существует при обработке тестовых параметров title и event. Удаленный пользователь может с помощью специально сформированного URL выполнить XSS атаку и получить дсотуп к важным данным пользователей.

Пример/Эксплоит: См. источник сообщения.

URL производителя: http://www.ikemcg.com/scripts/pec/index.html

Решение: Установите обновление
http://www.ikemcg.com/scripts/pec/downloads/pec-0.2-patch.tar.gz

Ссылки: phpEventCalendar Input Validation Holes in Title and Event Text Lets Remote Users Cross-Site Scripting

или введите имя

CAPTCHA