Межсайтовое выполнение сценариев в FuseTalk
| Дата публикации: | 16.10.2004 |
| Всего просмотров: | 1165 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | CVE-2004-1594 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
FuseTalk 2.x
FuseTalk 3.x FuseTalk 4.x |
| Уязвимые версии: FuseTalk 2.x - 4.x
Описание: Уязвимость существует из-за недостаточной фильтрации данных в теге img. Атакующий может заменить кавычки (“”) на знак вопроса (?) и обойти механизм фильтрации. Также уязвимость существует в параметре 'ProfileID' модуля 'tombstone.cfm'. Пример: tombstone.cfm?ProfileID=<script>alert(documen t.cookie)</script> И в модулях 'searchresults.cfm' и 'usersearchresults.cfm': http://[target]/forum/usersearchre sults.cfm?keyword=<script>alert(document.cookie)</script>&FT_ACTION=SearchUsers URL производителя: www.fusetalk.com/ Решение: Решение не существует на данный момент. |
|
| Ссылки: | Multiple Cross Site Scripting Vulnerabilities in FuseTalk |