Межсайтовый скриптинг и обход ограничений в форуме DigitalHive

Дата публикации:
24.03.2005
Всего просмотров:
813
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-0883
CVE-2008-0290
CVE-2008-1985
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
DigitalHive 2.x
Уязвимые версии: DigitalHive

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и переустановить приложение.

Приложение после установки не удаляет установочный сценарий. Удаленный пользователь может вызвать установочный сценарий и переустановить приложение.

Межсайтовый скриптинг возможен из-за недостаточной фильтрации входных данных в сценарии 'base.php'. Удаленный пользователь может выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[target]/hive/base.php?page=
forum/msg.php-afs-1-"/><script>aler t()</script>1

http://[target]/hive/base.php?page=
membres.php&mt="/><script>alert()</script>1

URL производителя: http://www.digitalhive.com

Решение: Способов устранения уязвимости не существует в настоящее время.

или введите имя

CAPTCHA