Межсайтовый скриптинг в TUTOS
| Дата публикации: | 27.06.2003 |
| Всего просмотров: | 1180 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | TUTOS 1.x |
| Описание: | Несколько уязвимостей в проверке правильности ввода обнаружены в
TUTOS. Удаленный пользователь может выполнить XSS нападение.
Сообщается, что программа не фильтрует HTML код в данных, представленных пользователем в атрибуте 'msg' в нескольких сценариях, включая сценарий 'file_select.php'. Удаленный пользователь может сконструировать специально обработанный URL, содержащий произвольный HTML код, который будет выполнен в браузере пользователя, просматривающего эту ссылку, в контексте уязвимого сайта. Пример: http://[target]/tutos/file/file_select.php?msg=<hostile code>Также сообщается, что удаленный пользователь может загружать сообщения, содержащие HTML код через следующий URL: http://[target]/tutos/file/file_new.php?link_id=1065Затем, когда файл загружен, код будет выполнен в браузере целевого пользователя, просматривающего следующий URL: http://[target]/tutos/repository/[proj ect number]/[filenumber]/FILEУязвимость обнаружена в TUTOS 1.1 Для устранения уязвимости, установите обновленную версию программы, которую можно скачать отсюда: https://sourceforge.net/cvs/?group_id=8047
|
| Ссылки: | Multiple vulnerabilities in Tutos |