Security Lab

межсайтовый скриптинг и раскрытие инсталляционного пути в Zorum

Дата публикации:14.08.2003
Всего просмотров:999
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: CVE-2003-1088
CVE-2005-0675
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Zorum 3.x
Описание: Уязвимость в проверке правильности ввода обнаружена в Zorum. Удаленный пользователь может выполнить XSS нападение. Удаленный пользователь может также определить инсталляционный путь.
  1. XSS. Пример: 
    http://[target]/pathofzorum/index.php?method=<script>alert('te st')</script>
  2. Расрытие пути. Пример: 
     
http://[target]/forum/index.php?method=userfunctions&'list =secmenu&
Уязвимость обнаружена в Zorum 3.4
Ссылки: ZH2003-22SA (security advisory): Zorum XSS Vulnerability and Path