Межсайтовый скриптинг в Open Media Collectors Database

Дата публикации:
03.09.2008
Дата изменения:
03.09.2008
Всего просмотров:
1910
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-3937
CVE-2008-3938
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Open Media Collectors Database (OpenDb) 1.x
Уязвимые версии: Open Media Collectors Database 1.0.6, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "user_id" в сценарии user_admin.php, в параметре "title" в сценарии listings.php и в параметре "redirect_url" в сценарии user_profile.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов при выполнении некоторых действий. Удаленный пользователь может с помощью специально сформированной ссылки произвести CSRF нападение и, например, изменить пароль целевого пользователя.

URL производителя: opendb.iamvegan.net

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://packetstorm.linuxsecurity.com/0808-exploits/omcd-xssxsrf.txt

или введите имя

CAPTCHA