Межсайтовый скриптинг в MySQL

Дата публикации:
02.10.2008
Всего просмотров:
2192
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
MySQL 5.x
Уязвимые версии: MySQL 5.0.26, 5.0.37 и 5.0.45, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки HTML данных в консольном клиенте MySQL. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта при просмотре HTML данных для специально сформированной записи в базе данных. Для успешной эксплуатации уязвимости атакующий должен записать код сценария в базу данных и целевой пользователь должен отобразить данные в виде HTML и просмотреть их.

URL производителя: www.mysql.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://bugs.mysql.com/bug.php?id=27884
http://www.henlich.de/it-security/mysql-command-line-client-html-injection-vulnerability/
http://www.henlich.de/it-security/mysql-command-line-client-html-injection-vulnerability/

или введите имя

CAPTCHA