Межсайтовый скриптинг в CONTENS

Дата публикации:
26.12.2005
Дата изменения:
24.03.2009
Всего просмотров:
1767
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-4388
CVE-2005-4389
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
CONTENS 2.x
Уязвимые версии: CONTENS 3.0 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных параметре "near" в сценарии "search.cfm". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

/search.cfm?uselang_en=1&intern=0&targetgroup
=pub&fuseaction_sea=results&advanced=1&criteria
=r0t&submit.x=33&submit.y=10&submit=Search&bool
=or&itemsperpage=10&near=[XSS]

URL производителя: www.contens.com

Решение: Установите последнюю версию с сайта производителя.

Источник:

Журнал изменений:
24.03.2009
Изменена секция "Решение"

Ссылки: CONTENS "search.cfm" Multiple Input Validation Vuln.

или введите имя

CAPTCHA