Security Lab

Межсайтовый скриптинг в OpenAutoClassifieds

Дата публикации:05.11.2003
Дата изменения:16.10.2006
Всего просмотров:1058
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OpenAutoClassifieds 1.x
Уязвимые версии: OpenAutoClassifieds 1.0

Описание: Уязвимость обнаружена в OpenAutoClassifieds. Злонамеренный пользователь может выполнить XSS нападение.

Уязвимость связанна с ошибкой в проверке правильности входных данных в параметре "listing" в сценарии "friendmail.php"

Пример/Эксплоит:

http://[victim]/openautoclassifieds/friendmail.php?listing=<script>alert(document.domain);</script>

URL производителя: http://jonroig.com/freecode/openautoclassifieds/

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.