Security Lab

Межсайтовый скриптинг в Indexu

Дата публикации:18.01.2007
Дата изменения:24.03.2009
Всего просмотров:5123
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Indexu 5.x
Уязвимые версии: Indexu 5.x

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[host]/suggest_category.php?error_msg=[code]
http://[host]/user_detail.php?u=[code]
http://[host]/tell_friend.php?friend_name=[code]
http://[host]/tell_friend.php?friend_email=[code]
http://[host]/tell_friend.php?error_msg=[code]
http://[host]/tell_friend.php?my_name=[code]
http://[host]/tell_friend.php?my_email=[code]
http://[host]/tell_friend.php?id=[code]
http://[host]/sendmail.php?error_msg=[code]
http://[host]/sendmail.php?email=[code]
http://[host]/sendmail.php?name=[code]
http://[host]/sendmail.php?subject=[code]
http://[host]/send_pwd.php?email=[code]
http://[host]/send_pwd.php?error_msg=[code]
http://[host]/send_pwd.php?username=[code]
http://[host]/search.php?keyword=[code]
http://[host]/register.php?error_msg=[code]
http://[host]/register.php?username=[code]
http://[host]/register.php?password=[code]
http://[host]/register.php?password2=[code]
http://[host]/register.php?email=[code]
http://[host]/power_search.php?url=[code]
http://[host]/power_search.php?contact_name=[code]
http://[host]/power_search.php?email=[code]
http://[host]/new.php?path=[code]
http://[host]/new.php?total=[code]
http://[host]/modify.php?pflag=search&query=[code]
http://[host]/login.php?error_msg=[code]

URL производителя: www.nicecoder.com

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:
24.03.2009
Изменена секция "Решение"