Межсайтовый скриптинг в Alkacon OpenCms

Дата публикации:
26.05.2006
Дата изменения:
24.03.2009
Всего просмотров:
1577
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Alkacon OpenCms 6.x
Уязвимые версии: Alkacon OpenCms 6.0.0, 6.0.2 и 6.0.3, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "query" сценария "search.html". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://host/opencms/opencms /system/modules/org.opencms .frontend.templateone/pages /search.html?action=search &query=%22%3E%3Cscript%3Ealert %28'www.eazel.es'%29%3C %2Fscript%3E%3C!-&index=Online +project+%28VFS%29&page=1&uri= %2Fxmlcontentdemo%2Fside _element_demo.html&__locale=en &query2=%3Cscript%3Ealert%28a %29%3C%2Fscript%3E

URL производителя: www.opencms.org/opencms/en/index.html

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:
24.03.2009
Изменена секция "Решение"

Ссылки: OpenCms version 6.0.x Xml Content Demo search engine Cross site scripting

или введите имя

CAPTCHA