Межсайтовый скриптинг в e107
- Дата публикации:
- 26.05.2004
- Дата изменения:
- 17.10.2006
- Всего просмотров:
- 1730
- Опасность:
- Низкая
- Наличие исправления:
- Количество уязвимостей:
- 1
- CVSSv2 рейтинг:
- CVE ID:
- Нет данных
- Вектор эксплуатации:
- Воздействие:
- CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
Уязвимые версии: e107
Описание: Уязвимость обнаружена в e107. Удаленный авторизованный пользователь может выполнить XSS нападение.
Сценарий 'usersettings.php' не фильтрует данные, представленные пользователем, перед тем, как 'user.php' отобразит информацию.
Пример/Эксплоит:
URL field: http://www.mysiteurl.com/<script>alert(document.cookie)</script> AIM/MSN field: <script>alert(document.cookie)</script>
URL производителя:http://www.e107.org/
Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.
Ссылки:
e107 web portal user.php XSS (Cross Site Scripting)