Выполнение произвольных сценариев в Yahoo Messenger

Дата публикации:
02.02.2007
Всего просмотров:
1811
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Yahoo! Messenger 8.x
Уязвимые версии: Yahoo Messenger 8.1.0.209, возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за недостаточной обработки данных в полях "First Name", "Last Name" и "Nickname" в опции "Contact Details" при отображении сообщения о статусе пользователя в окне чата. Злоумышленник может выполнить произвольный код сценария в контексте зоны Local Zone (My Computer) посредством тегов, вставляющих графическое изображение, в вышеуказанные поля и меня свой статус, например с "Available" на "Invisible To Everyone". Для успешной эксплуатации уязвимости атакующий должен быть в контактном листе жертвы.

URL производителя: messenger.yahoo.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Cross-site Scripting with Local Privilege Vulnerability in Yahoo Messenger

или введите имя

CAPTCHA