Межсайтовый скриптинг в Alkacon OpenCms
| Дата публикации: | 26.05.2006 |
| Дата изменения: | 24.03.2009 |
| Всего просмотров: | 1892 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | CVE-2006-2571 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Alkacon OpenCms 6.x |
| Уязвимые версии: Alkacon OpenCms 6.0.0, 6.0.2 и 6.0.3, возможно другие версии.
Описание: Уязвимость существует из-за недостаточной обработки входных данных в параметре "query" сценария "search.html". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример: http://host/opencms/opencms /system/modules/org.opencms .frontend.templateone/pages /search.html?action=search &query=%22%3E%3Cscript%3Ealert %28'www.eazel.es'%29%3C %2Fscript%3E%3C!-&index=Online +project+%28VFS%29&page=1&uri= %2Fxmlcontentdemo%2Fside _element_demo.html&__locale=en &query2=%3Cscript%3Ealert%28a %29%3C%2Fscript%3E URL производителя: www.opencms.org/opencms/en/index.html Решение: Установите последнюю версию с сайта производителя. Журнал изменений: |
|
| Ссылки: | OpenCms version 6.0.x Xml Content Demo search engine Cross site scripting |