Security Lab

Cross-site scripting в PostBoard

Дата публикации:22.04.2002
Всего просмотров:1123
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: PostBoard - свободно доступный модуль доски объявлений для с PostNuke системы.

1. Тэг IMG принимает любой код, включая javascript. Код будет выполнен при просмотре уязвимого сообщения:
[IMG]javascript:alert('give me cookies');[/IMG]

2. При добавлении новой темы на форуме, пользователь вводит заголовок для новой темы. Заголовок темы может содержать любой HTML код, включая тэг [script].

Пример:

 <script>alert('give me cookies');</script> 

Уязвимость найдена в PostBoard 2.0-2.0.1

Ссылки: Источник