Межсайтовый скриптинг в Invision Power Board

Дата публикации:
25.04.2005
Дата изменения:
11.04.2009
Всего просмотров:
3784
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Invision Power Board 2.x
Уязвимые версии: Invision Power Board 2.x

Описание:
Удаленный пользователь может произвести XSS нападение и потенциально получить доступ к важным данным других пользователей.

Уязвимость существует при обработке входных данных в некоторых полях форм. Удаленный пользователь может с помощью специально сформированного HTTP POST запроса выполнить произвольный код в браузере жертвы. Примеры

1. Уязвимость существует в поле msg_title в менеджере частных сообщений:

"><script>alert()</script>

2. Уязвимость существует при обработке BB тегов. Удаленный пользователь может с помощью специально сформированного сообщения выполнить произвольный HTML кож в браузере жертвы. Примеры:

[pоst=[tоpic=100]
Click me!
[/tоpic]]
Click me!
[/pоst]

URL производителя: invisionpower.com

Решение: Установите последнюю версию с сайта производителя.

Источник:http://forum.antichat.ru/showthread.php?t=6210

или введите имя

CAPTCHA