Межсайтовый скриптинг в Indexu

Дата публикации:
18.01.2007
Дата изменения:
24.03.2009
Всего просмотров:
4047
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Indexu 5.x
Уязвимые версии: Indexu 5.x

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[host]/suggest_category.php?error_msg=[code]
http://[host]/user_detail.php?u=[code]
http://[host]/tell_friend.php?friend_name=[code]
http://[host]/tell_friend.php?friend_email=[code]
http://[host]/tell_friend.php?error_msg=[code]
http://[host]/tell_friend.php?my_name=[code]
http://[host]/tell_friend.php?my_email=[code]
http://[host]/tell_friend.php?id=[code]
http://[host]/sendmail.php?error_msg=[code]
http://[host]/sendmail.php?email=[code]
http://[host]/sendmail.php?name=[code]
http://[host]/sendmail.php?subject=[code]
http://[host]/send_pwd.php?email=[code]
http://[host]/send_pwd.php?error_msg=[code]
http://[host]/send_pwd.php?username=[code]
http://[host]/search.php?keyword=[code]
http://[host]/register.php?error_msg=[code]
http://[host]/register.php?username=[code]
http://[host]/register.php?password=[code]
http://[host]/register.php?password2=[code]
http://[host]/register.php?email=[code]
http://[host]/power_search.php?url=[code]
http://[host]/power_search.php?contact_name=[code]
http://[host]/power_search.php?email=[code]
http://[host]/new.php?path=[code]
http://[host]/new.php?total=[code]
http://[host]/modify.php?pflag=search&query=[code]
http://[host]/login.php?error_msg=[code]

URL производителя: www.nicecoder.com

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:
24.03.2009
Изменена секция "Решение"

или введите имя

CAPTCHA