Межсайтовый скриптинг и раскрытие информации в Justice Guestbook (JGB).
| Дата публикации: | 02.04.2003 |
| Всего просмотров: | 1261 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие системных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Justice Guestbook 1.x |
| Описание: | Уязвимость в проверке правильности ввода обнаружена в
Justice Guestbook (JGB). Удаленный пользователь может выполнить XSS нападение и раскрыть чувствительную информацию о системе. F0KP сообщил, что сценарий jgb.php3 не проверяет переменные $name $homepage, $aim, $yim, $location и $comment. В результате удаленный пользователь может вставить произвольный HTML или JavaSript код в эти переменные, чтобы выполнить различные нападения против пользователей Justice Guestbook (JGB): http://hostname/jgb_eng_php3/jgb.php3Также сообщается, что при запросе сценария cfooter.php3 вылезет сообщение об ошибке, которое содержит информацию о физическом местоположении wwwroot: http://hostname/jgb_eng_php3/cfooter.php3 ================================================================= Fatal error: Call to undefined function: getsets() in /homepages/12/d13457710/htdocs/underground/guestbook/cfooter.php3 on line 31 =================================================================Уязвимость обнаружена в Justice Guestbook 1.3 |
| Ссылки: | Justice Guestbook 1.3 vulnerabilities |