ћежсайтовый скриптинг в параметре СIPТ в Mensajeitor

ƒата публикации:
29.06.2005
ƒата изменени€:
17.10.2006
¬сего просмотров:
774
ќпасность:
Ќизка€
Ќаличие исправлени€:
 оличество у€звимостей:
1
CVSSv2 рейтинг:
CVE ID:
Ќет данных
¬ектор эксплуатации:
¬оздействие:
CWE ID:
Ќет данных
Ќаличие эксплоита:
Ќет данных
”€звимые продукты:
”€звимые версии: Mensajeitor 1.8.9

ќписание:
”€звимость позвол€ет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

”€звимость существует из-за недостаточной обработки входных данных в параметре СIPТ. ”даленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности у€звимого сайта. ѕример:

http://[target]/mensajeitor.php?nick=megabyte&
url=http://mbytesecurity.org&actualizar=null
& titulo=aaa&ip='aa'%3E%3Ciframe%20src=
http://mbyte security.org/bukle.htm&enviar=Enviar

URL производител€: mensajeitor.com

–ешение: —пособов устранени€ у€звимости не существует в насто€щее врем€.

—сылки: Mensajeitor 1.8.9 HTML injection

или введите им€

CAPTCHA