Межсайтовый скриптинг в Drupal
| Дата публикации: | 30.09.2002 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1804 |
| Опасность: | Низкая |
| Наличие исправления: | Частично |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
phpWebSite 0.x
Xoops 2.x PHP-Nuke 6.x NPDS 4.x SuperCache daCode 1.x Drupal 4.x Drupal 3.x |
| Описание: | Drupal (http://www.drupal.org/) – система публикации новостей и управления содержанием. Drupal не достаточно фильтрует опасный HTML код при публикации новостей. В результате возможно создание новости, содержащей злонамеренный HTML код, который будет выполнен в браузере пользователя, просматривающего такую новость. Уязвимость может использоваться для организации различных нападений против Web приложений. Пример:
<IMG SRC="javascript:alert('unsecure')">
Уязвимость обнаружена в Drupal 4.0
|
| Ссылки: | ECHU Alert #2: IMG Attack in the news : 6 CMS vulnerables |