Security Lab

Межсайтовый скриптинг в VHCS

Дата публикации:05.05.2006
Всего просмотров:1433
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: VHCS 2.x
Удаленный пользователь может произвести XSS нападение. Уязвимые версии: VHCS 2.x

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах "day", "month" и "year" в сценарии "admin/server_day_stats.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

[target]/admin/server_day_stats.php?year=2006&month=05&day=2[xss]
[target]/admin/server_day_stats.php?year=2006&month=05[xss]&day=2
[target]/admin/server_day_stats.php?year=2006[xss]&month=05&day=2

URL производителя: www.vhcs.net

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: VHCS --- Virtual Hosting Control System Cross Site Scripting