Межсайтовый скриптинг в GuestBookHost

Дата публикации:27.06.2003
Всего просмотров:1488
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: GuestBookHost
Описание: Несколько уязвимостей в проверке правильности ввода обнаружены в GuestBookHost. Удаленный пользователь может выполнить XSS нападение.

Сценарий не фильтрует HTML код в полях 'Name', 'Email', и 'Message'. Удаленный пользователь может сконструировать специально обработанный URL, содержащий произвольный HTML код, который будет выполнен в браузере пользователя, просматривающего эту ссылку, в контексте уязвимого сайта. Пример:

<script>window.location.replace("http://[attacker]");</script>
Способов устранения обнаруженной уязвимости не существует в настоящее время
Ссылки: GuestBookHost : Cross Site Scripting