Security Lab

Межсайтовый скриптинг в Yabbse

Дата публикации:10.01.2003
Всего просмотров:1337
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: YaBB SE - PHP/MySQL аналог популярного форума YaBB (yet another bulletin board). В программе обнаружена уязвимость межсайтового скриптинга, позволяющая удаленному атакующему внедрять произвольный HTML и JavaScript код в существующие Web страницы. Пример:
http://victim/yabbse/index.php?board=1;action=display;threadid=1<S!cript>alert(document.cookie)</S!cript>
http://victim/yabbse/index.php?board=1;action=reporttm;thread=1;id=0;subject=Welcome%20to%20YaBB%20SE!;poster=YaBB%20SE%20Dev%20Team;msgid=1"><S!cript>alert(document.cookie)</S!cript>
Уязвимость обнаружена в Yabbse version 1.5.0
Ссылки: Yabbse XSS Vulnerability in news_template.php (threadid, msgid)