cross-site scripting в @Card

Дата публикации:19.07.2002
Всего просмотров:747
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: @Card(www.cgi2k.com ) - система/скрипт посылки виртуальных открыток. Присутствует уязвимость использования XSS. Из-за отсутствия проверки переменной 'pic' атакующий имеет возможность удалённо исполнить любой код в браузере из уязвимого сервера заменив или добавив к используемой открытке, код с закрытием кавычки в начале.
www.vulnerable.url/cgi-bin/ecards/upcardme.cgi?step=1&pic=
Spider_Man/2733369507.jpg>
<script>alert("eraser%20was%20here%20:)")</script>
&lang=english.pm
Ссылки: Advisory by Eraser #4