Security Lab

Межсайтовый скриптинг в PhpBB форуме

Дата публикации:22.09.2003
Всего просмотров:2231
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: phpBB 2.x
Уязвимые версии: phpBB 2.0.x

Описание: Уязвимость обнаружена в PhpBB. Удаленный авторизованный администратор может выполнить XSS нападение против других администраторов форума.

Удаленный администратор может сконструировать специально обработанную smiley панель таким образом, чтобы выполнить произвольный код сценария в браузере другого администратора, просматривающего эту панель.

Пример/Эксплоит: Поместите в smiley панель:

:)<script>alert('Css work')</script>

URL производителя: http://www.phpbb.com/

Решение: Ограничьте доступ к форуму только доверенным администраторам.

Ссылки: PhpBB Admin smiley panel CSS