Дата публикации: | 03.05.2003 |
Всего просмотров: | 1777 |
Опасность: | Низкая |
Наличие исправления: | Нет |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: | Межсайтовый скриптинг |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | PHP-Nuke 6.x |
Описание: | Несколько XSS уязвимостей обнаружено в PHP-Nuke. Удаленный пользователь может выполнить XSS нападение против PHP-Nuke пользователей.
Frog-m@n сообщил, что удаленный пользователь может внедрить специально сформированный текст в некоторые поля, чтобы выполнить произвольный код сценария в браузере целевого пользователя. Пример: 1) http://" onclick="[SCRIPT] ondblclick, onhelp, onmouseout, onmousemove и другие команды могут быть вставлены вместо 'onclick'. 2) " style="list-style:url(javascript:[SCRIPT]); visibility:hidden; 3) " style="zoom:expression([SCRIPT]); visibility:hidden;Также, удаленный пользователь может ввести следующий текст в частное сообщение, в комментарии к статьям, в форуме и т.п.: <i style="overflow:expression([SCRIPT]);"></i> <br style="overflow:expression([SCRIPT]);"> <a style="left:expression([SCRIPT]);"></a> <a style="background:url('javascript:[SCRIPT]');"></a> <li style="list-style-image:url('javascript:[SCRIPT]');"> <b style="background:url('javascript:[SCRIPT]');"></b>Другие HTML тэги также уязвимы. Уязвимость обнаружена в PHP-Nuke 6.5 FINAL |
Ссылки: | PHP-Nuke 6.5 FINAL Cross Site Scripting |