Межсайтовый скриптинг в phpBB форуме
| Дата публикации: | 24.06.2003 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 2084 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | CVE-2003-0486 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Раскрытие важных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | phpBB 2.x |
| Описание: | Уязвимость в проверке правильности ввода обнаружена в phpBB форуме. Удаленный пользователь может выполнить XSS нападение.
Сообщается, что форум не фильтрует HTML код в переменной topic_id в сценарии viewtopic.php. Удаленный пользователь может сконструировать специально обработанный URL, содержащий произвольный HTML код, который будет выполнен в браузере пользователя, просматривающего эту ссылку, в контексте уязвимого сайта. Пример: http://[site]/phpBB/viewtopic.php?topic_id=[script]Уязвимость может использоваться для кражи опознавательных данных, хранящихся в куки целевого пользователя. Уязвимость обнаружена в phpBB 2.0-2.0.5 |
| Ссылки: | XSS Exploit In phpBB viewtopic.php |