Security Lab

Межсайтовый скриптинг в Bugzilla

Дата публикации:03.12.2002
Всего просмотров:961
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Bugzilla 2.x
Описание: Уязвимость межсайтового скриптинга в Bugzilla происходит при включенной опции 'quips'.

По сообщениям, Bugzilla не в состоянии правильно обработать данные, представленные пользователем. В результате, удаленный атакующий может создать злонамеренную ссылку, содержащую произвольный код сценария, который будет выполнен в браузере пользователя, кликнувшего на эту ссылку, в контексте Web сервера, на котором запущен Bugzilla. Уязвимость может использоваться для перехвата опознавательных мандатов, хранящихся в куки пользователя.

Уязвимость обнаружена в Mozilla Bugzilla 2.10-2.17

Ссылки: XSS vulnerability in Bugzilla if upgraded from 2.10 or earlier