Межсайтовый скриптинг в ZeroBlog

Дата публикации:
18.10.2005
Всего просмотров:
906
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
ZeroBlog 1.x
Уязвимые версии: ZeroBlog 1.2a и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость существует при обработке входных данных в параметре threadID сценария thread.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://example.com/thread.php?threadID='
%3CIFRAME%20SRC=javascript:alert
(%2527XSS%2527)%3E%3C/IFRAME%3E

URL производителя: www.sothq.net

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: XSS vulnerability in Zeroblog

или введите имя

CAPTCHA