Межсайтовый скриптинг и обход ограничений в форуме DigitalHive
| Дата публикации: | 24.03.2005 |
| Всего просмотров: | 1050 |
| Опасность: | Средняя |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2005-0883 CVE-2008-0290 CVE-2008-1985 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Неавторизованное изменение данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | DigitalHive 2.x |
| Уязвимые версии: DigitalHive
Описание: Приложение после установки не удаляет установочный сценарий. Удаленный пользователь может вызвать установочный сценарий и переустановить приложение. Межсайтовый скриптинг возможен из-за недостаточной фильтрации входных данных в сценарии 'base.php'. Удаленный пользователь может выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:
http://[target]/hive/base.php?page= http://[target]/hive/base.php?page= URL производителя: http://www.digitalhive.com Решение: Способов устранения уязвимости не существует в настоящее время. |