Межсайтовый скриптинг в DotNetNuke

Дата публикации:
19.05.2005
Дата изменения:
07.05.2008
Всего просмотров:
879
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
DotNetNuke 3.x
Уязвимые версии: DotNetNuke версии до 3.0.12

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

1. Уязвимость существует в сценарии регистрации нового пользователя из-за недостаточной обработки входных данных. Произвольный HTML сценарий будет выполнен при просмотре личных данных пользователя на странице View All User Details.

2. Отсутствует фильтрация поля User-Agent в HTTP заголовке. Удаленный пользователь может с помощью специально сформированного заголовка выполнить произвольный HTML сценарий в браузере жертвы во время просмотра лог файла.

3. Злоумышленник может с помощью специально сформированного имени пользователя выполнить произвольный HTML сценарий в браузере жертвы. Уязвимость существует из-за недостаточной фильтрации данных при ведении логирования неуспешных входов.

URL производителей: www.dotnetnuke.com

Решение: Установите последнюю версию (3.0.12) с сайта производителя.



Ссылки: Multiple DotNetNuke Cross Site Scripting (XSS) Vulnerabilities
или введите имя

CAPTCHA