Межсайтовый скриптинг при обработке utf-7 кодировки в различных форумах

Дата публикации:
18.05.2005
Дата изменения:
16.10.2006
Всего просмотров:
3224
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимые версии: vBulletin, Invision Power Board, Phorum, Web Wiz и другие форумы

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость существует при установленном автоматическом выборе кодировки в браузере. Удаленный пользователь может обойти правила фильтрации потенциально опасных символов в различных форумах, сохранив злонамеренный HTML код в кодировке utf-7 и выполнить его в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

<title>vBulletin Community Forum - +ADw-/title+AD4APA-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-</title>

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://www.microsoft.com/technet/archive/security/news/csoverv.mspx
http://antichat.ru/txt/utf7/

или введите имя

CAPTCHA