Security Lab

Межсайтовый скриптинг в myPHPNuke

Дата публикации:25.02.2003
Всего просмотров:1008
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: myPHPNuke 1.x
Описание: Несколько уязвимостей в проверке правильности ввода обнаружены в myPHPNuke. Удаленный атакующий может выполнять XSS нападения против myPHPNuke пользователя.

Сценарий 'links.php' не фильтрует данные, представленные пользователем, в нескольких переменных. В результате удаленный атакующий может внедрить произвольный код сценария в сгенерированные страницы, который может использоваться для кражи опознавательной информации, хранящейся в куки пользователя. Пример:

http://WEB/myphpnuke/links.php?op=MostPopular&ratenum=[scr!pt]alert(documen t.cookie);[/scr!pt]&ratetype=percent

http://WEB/myphpnuke/links.php?op=search&query=[scr!pt]alert('tacettin@olympos.org');[/scr!pt]?query=
Ссылки: myphpnuke xss