Security Lab

Вставка javascript и php кода в x-dev.de Guestbook

Дата публикации:17.04.2002
Всего просмотров:1523
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: x-dev.de Guestbook – сценарий для создания Guestbook.

Уязвимость позволяет вставлять произвольный javascript код в тэг {img}, удалять данные через PHP код и возможно выполнять произвольный код.

Пример:

1. Cross-site scripting: [img]javascript:alert('This Guestbook allows Cross Site Scripting');[/img]

2. Код <?php echo"delete datafile";?> вставленный в поле типа "Ihr Name", "Ihre eMail", "Homepage-Name" or "Homepage-URL" удалит datafile.

Ссылки: Источник