Security Lab

Межсайтовый скриптинг в DotNetNuke

Дата публикации:19.05.2005
Дата изменения:07.05.2008
Всего просмотров:1105
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: DotNetNuke 3.x
Уязвимые версии: DotNetNuke версии до 3.0.12

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

1. Уязвимость существует в сценарии регистрации нового пользователя из-за недостаточной обработки входных данных. Произвольный HTML сценарий будет выполнен при просмотре личных данных пользователя на странице View All User Details.

2. Отсутствует фильтрация поля User-Agent в HTTP заголовке. Удаленный пользователь может с помощью специально сформированного заголовка выполнить произвольный HTML сценарий в браузере жертвы во время просмотра лог файла.

3. Злоумышленник может с помощью специально сформированного имени пользователя выполнить произвольный HTML сценарий в браузере жертвы. Уязвимость существует из-за недостаточной фильтрации данных при ведении логирования неуспешных входов.

URL производителей: www.dotnetnuke.com

Решение: Установите последнюю версию (3.0.12) с сайта производителя.

Ссылки: Multiple DotNetNuke Cross Site Scripting (XSS) Vulnerabilities