Security Lab

Межсайтовое выполнение сценариев в Jebuch

Дата публикации:21.10.2004
Всего просмотров:1133
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Jebuch 1.0

Описание:
Ошибка обработки данных обнаружена в Jebuch в файле 'eintragen.php3'. Удаленный атакующий может произвести XSS нападение. Удаленный атакующий может получить доступ к важным данным пользователя и выполнить произвольный сценарий в браузере жертвы.

Уязвимость существует из-за отсутствия фильтрации скриптинг-кода из BBCode тегов. Удаленный атакующий может специальным образом создать комментарий, который при просмотре его целевым пользователем, выполнит произвольный код в его браузере. Пример:

[img]"?" onError="window.location='http://dangerousrage.net'"[/img]

Решение: Решение не существует на данный момент

Ссылки: Jebuch BBCode Image Tag Input Validation Flaw Lets Remote Users Conduct Cross-Site Scripting Attacks