Межсайтовый скриптинг в Elite Forum

Дата публикации:
03.11.2005
Всего просмотров:
887
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Elite Forum 1.x
Уязвимые версии: Elite Forum 1.0.0.0 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость обнаружена при обработке входных данных. Удаленный пользователь может создать специально сформированное сообщение и выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

< img src="javascript:void(window.location=('imagelink'))"> - Replace the imagelink with the link to the image you want to redirect the users viewing the topic containing this code.

<img src="javascript:a=100;while(a>=0){alert(a);a--}">

<img src="javascript:a=1;while(a>0){alert("sup?")">

URL производителя: firestorm.all-interviews.com/index.php?act=eliteforum

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник:

Ссылки: Elite Forum 1.0.0.0 XSS Vulnerability

или введите имя

CAPTCHA