Security Lab

Межсайтовый скриптинг в нескольких модулях PHP-NUKE

Дата публикации:18.03.2004
Всего просмотров:1901
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: PHP-Nuke 7.1.0

Описание: Несколько уязвимостей в проверке правильности входных данных обнаружено в PHP-NUKE. Удаленный пользователь может выполнить XSS нападение.

Несколько модулей не фильтруют код сценария в данных, представленных пользователем. Уязвимы следующие поля и модули:

1. Поля 'Email' и 'Your Name' в модуле Your_Account.

2. Поле 'nicname' в модуле Feedback. (c 'pass_lost' как переменная 'op')

3. Переменная 'fname' в модуле Recommend_US

4. Поле 'ratenum' в модуле Downloads.

5. Поле 'search' в модуле Journal

URL производителя:http://www.phpnuke.org/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: [waraxe-2004-SA#005 - XSS in Php-Nuke 7.1.0 - part 2]