Межсайтовый скриптинг в Bugzero

Дата публикации:
07.04.2006
Всего просмотров:
1144
Опасность:
Низкая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Bugzero 4.x
Уязвимые версии: Bugzero 4.3.1-0158, возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "msg" в сценариях login.jsp, main.jsp и query.jsp, и параметре "entryId" в сценарии edit.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

/bugzero/jsp/query.jsp?msg=[XSS]
/bugzero/jsp/edit.jsp?projectId=&entryId=[XSS]

2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "projectId" сценария edit.jsp и параметре "error" в сценарии error.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: websina.com/bugzero/index.html

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Bugzero XSS vuln.

или введите имя

CAPTCHA