Межсайтовый скриптинг в DCForum+
| Дата публикации: | 14.08.2003 |
| Всего просмотров: | 1075 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | DCForum+ 1.x |
| Описание: | Уязвимость в проверке правильности входных данных обнаружена в DCForum+. Удаленный пользователь может выполнить XSS нападение.
Поле 'Subject' не фильтрует HTML код в данных, представленных пользователем. Удаленный пользователь может послать сообщение со специально обработанным полем Subject, чтобы выполнить произвольный код сценария в браузере пользователя, просматривающего злонамеренное сообщение. Пример: Your Name: Zone-h Security Team Your Email: test@test.com Your Subject: <script>alert(Zone-h)</script> Your Message: Zone-h.orgУязвимость обнаружена в DCForum+ 1.2 |
| Ссылки: | ZH2003-21SA (security advisory): DcForum+ XSS Vulnerability |