Security Lab

Межсайтовый скриптинг в Mailman

Дата публикации:28.01.2003
Дата изменения:17.10.2006
Всего просмотров:946
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Mailman 2.x
Описание: Уязвимость проверки правильности ввода обнаружена в Mailman mailing list. Удаленный пользователь может выполнить XSS атаку против Mailman пользователей и администраторов.

По сообщениям, переменная 'email' на Web интерфейсе не достаточно фильтрует HTML код в пользовательских данных. В результате удаленный пользователь может сконструировать URL, который при загрузке пользователем выполнит произвольный код сценария в браузере пользователя Mailman системы. Пример:

https://[target]:443/mailman/options/yourlist?
language=en&email=<SCRIPT >alert('Can%20Cross%20Site%20Attack')</SCRIPT>
Уязвимость обнаружена в Mailman 2.1
Ссылки: Mailman: cross-site scripting bug