Security Lab

Межсайтовый скриптинг в PostNuke

Дата публикации:12.08.2003
Всего просмотров:1138
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость в проверке правильности ввода обнаружена в PostNuke. Удаленный пользователь может выполнить XSS нападение.

Переменная 'ttitle' в модулях 'Downloads' и 'Web_Links' не фильтрует HTML код в данных, представленных пользователем. Пример:

http://[HOST]/[PATH]/modules.php?
op=modload&name=Downloads&file=index&req=viewdownloaddet ails&lid=[ID]
&ttitle=[Yeye XSS ;-)]"%3e[XSS ATTACK]

http://[HOST]/[PATH]/modules.php?
op=modload&name=Web_Links&file=index&req=viewlinkdetails&lid=[ID]
&ttitle=[MO RE ? ;-(]"%3e[XSS ATTACK]
Уязвимость обнаружена в PostNuke 0.7.2.3
Ссылки: PostNuke Downloads & Web_Links ttitle variable XSS