Межсайтовый скриптинг в phpMyFAQ

Дата публикации:
10.12.2009
Дата изменения:
10.12.2009
Всего просмотров:
1508
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
phpMyFAQ 2.x
Уязвимые версии: phpMyFAQ 2.5.4, возможно другие версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в различных параметрах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[host]/index.php?action=sitemap&lang=[code]
http://[host]/index.php?action=search&search=[code]
http://[host]/index.php?action=search&tagging_id=[code]
http://[host]/index.php?action=artikel&highlight=[code]
http://[host]/index.php?action=artikel&artlang=[code]
http://[host]/index.php?action=sitemap&letter=[code]
http://[host]/index.php?action=show&lang=[code]
http://[host]/index.php?action=show&cat=[code]
http://[host]/index.php?action=news&newsid=1&newslang=[code]
http://[host]/index.php?action=send2friend&artlang=[code]
http://[host]/index.php?action=send2friend&cat=[code]
http://[host]/index.php?action=send2friend&id=[code]
http://[host]/index.php?action=translate&srclang=[code]
http://[host]/index.php?action=translate&id=[code]
http://[host]/index.php?action=translate&cat=[code]
http://[host]/index.php?action=add&cat=[code]
http://[host]/index.php?action=add&question=[code]

URL производителя: http://www.phpmyfaq.de/

Решение: Установите последнюю версию 2.5.5 с сайта производителя.

Ссылки: http://www.phpmyfaq.de/advisory_2009-12-01.php

или введите имя

CAPTCHA