cross-site scripting в @Card
| Дата публикации: | 19.07.2002 |
| Всего просмотров: | 978 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | @Card(www.cgi2k.com ) - система/скрипт посылки виртуальных открыток. Присутствует уязвимость использования XSS. Из-за отсутствия проверки переменной 'pic' атакующий
имеет возможность удалённо исполнить любой код в браузере из уязвимого
сервера заменив или добавив к используемой открытке, код с закрытием
кавычки в начале.
www.vulnerable.url/cgi-bin/ecards/upcardme.cgi?step=1&pic=
Spider_Man/2733369507.jpg>
<script>alert("eraser%20was%20here%20:)")</script>
&lang=english.pm
|
| Ссылки: | Advisory by Eraser #4 |