Security Lab

Межсайтовый скриптинг в IdealBB

Дата публикации:11.08.2003
Всего просмотров:1063
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в IdealBB форуме. Удаленный пользователь может выполнить XSS нападение.

Сообщается, что сценарий 'error.asp' не фильтрует HTMl код в URL параметрах при отображении сообщения об ошибке. Пример:

http://[target]/idealbb/error.asp?e=16&
sessionID={xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}&msg=<scr ipt>alert('Zone-h')</script>
Уязвимость обнаружена в IdealBB 1.4.9 beta
Ссылки: ZH2003-15SA (security advisory): IdealBB XSS Vulnerability