Межсайтовый скриптинг в Yabbse
| Дата публикации: | 10.01.2003 |
| Всего просмотров: | 1464 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | YaBB SE - PHP/MySQL аналог популярного форума YaBB (yet another bulletin board). В программе обнаружена уязвимость межсайтового скриптинга, позволяющая удаленному атакующему внедрять произвольный HTML и JavaScript код в существующие Web страницы. Пример:
http://victim/yabbse/index.php?board=1;action=display;threadid=1<S!cript>alert(document.cookie)</S!cript> http://victim/yabbse/index.php?board=1;action=reporttm;thread=1;id=0;subject=Welcome%20to%20YaBB%20SE!;poster=YaBB%20SE%20Dev%20Team;msgid=1"><S!cript>alert(document.cookie)</S!cript>Уязвимость обнаружена в Yabbse version 1.5.0 |
| Ссылки: | Yabbse XSS Vulnerability in news_template.php (threadid, msgid) |