Межсайтовый скриптинг в PHP-Post

Дата публикации:
28.11.2005
Дата изменения:
17.10.2006
Всего просмотров:
1227
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
PHP-Post 1.x
Уязвимые версии: PHP-Post 1.0, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Отсутствует фильтрация входных данных в параметре "user" в сценариях "profile.php" и "mail.php" и в поле "subject". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://localhost/phpp/profile.php?user='
%3CIFRAME%20SRC=javascript:alert
(%2527XSS%2527)%3E%3C/IFRAME%3E

http://localhost/phpp/mail.php?user='
%3CIFRAME%20SRC=javascript:alert
(%2527XSS%2527)%3E%3C/IFRAME%3E

URL производителя: www.php-post.co.uk

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник:

Ссылки: PHPPost XSS and HTML Injection

или введите имя

CAPTCHA