Межсайтовый скриптинг в PHPbb форуме (обновлен)
| Дата публикации: | 10.09.2003 |
| Всего просмотров: | 2733 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | phpBB 2.x |
Уязвимые версии: phpBB 2.0.6 Описание: Уязвимость обнаружена в PHPbb форуме. Удаленный атакующий может вставить произвольный HTML код в тело сообщения. Удаленный атакующий может вставить специально отформатированный BB тэг (bbcode) [url][/url], чтобы заставить форум отобразить произвольный код сценария в браузере пользователя, просматривающего злонамеренное сообщение. Пример/Эксплоит:
[url=www.securityLab.ru" onclick=alert('Hello')]text[/url]
[URL=http://www.securityLab.ru" onclick="alert'Hello']text[/URL]
[URL=www.securityLab.ru" onclick="alert'Hello']text[/URL]
URL производителя: http://www.phpbb.com Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время. Отредактируйте исходный код уязвимых скриптов. Не используйте PHPbb тэги. Фильтруйте злонамеренный код на Web прокси. Используйте альтернативное программное обеспечение. |
|
| Ссылки: | XSS vulnerability in phpBB (an other ;-) |