Межсайтовый скриптинг в Mailman
| Дата публикации: | 28.01.2003 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 986 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Mailman 2.x |
| Описание: | Уязвимость проверки правильности ввода обнаружена в Mailman mailing list. Удаленный пользователь может выполнить XSS атаку против Mailman пользователей и администраторов.
По сообщениям, переменная 'email' на Web интерфейсе не достаточно фильтрует HTML код в пользовательских данных. В результате удаленный пользователь может сконструировать URL, который при загрузке пользователем выполнит произвольный код сценария в браузере пользователя Mailman системы. Пример:
https://[target]:443/mailman/options/yourlist?
language=en&email=<SCRIPT >alert('Can%20Cross%20Site%20Attack')</SCRIPT>
Уязвимость обнаружена в Mailman 2.1
|
| Ссылки: | Mailman: cross-site scripting bug |