Межсайтовый скриптинг в TSguestbook
| Дата публикации: | 02.09.2003 |
| Всего просмотров: | 1182 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | TSguestbook 2.x |
Программа: TSguestbook 2.x Наличие эксплоита: Да Описание: Уязвимость в проверке правильности входных данных обнаружена в TSguestbook. Удаленный атакующий может выполнить XSS нападение. Программное обеспечение не фильтрует пользовательские данные в поле Message. Удаленный атакующий может вставить произвольный код сценария в поле Message, который будет выполнен в браузере пользователя, просматривающего злонамеренное сообщение. Уязвимость может использоваться для перехвата опознавательных данных, хранящихся в куки целевого пользователя. Пример/Эксплоит:
Name: Zone-h Security Team
Email: test@test.com
ICQ: 11111111
Homepage: http://www.zone-h.org
Message:<script>alert('Zone-H')</script>
URL производителя: http://www.tsinter.net Решение: Официального решения не существует в настоящее время. В качестве временного решения проблемы, отредактируйте исходный код программы, используйте фильтрующий HTTP прокси или откажитесь от использования уязвимого программного обеспечения. |
|
| Ссылки: | ZH2003-26SA (security advisory): TSguestbook Ver. 2.1 Cross-Site Scripting Vulnerability |