Межсайтовое выполнение сценариев в wpkontakt
- Дата публикации:
- 27.12.2004
- Дата изменения:
- 17.10.2006
- Всего просмотров:
- 848
- Опасность:
- Средняя
- Наличие исправления:
- Да
- Количество уязвимостей:
- 1
- CVSSv2 рейтинг:
- CVE ID:
- Нет данных
- Вектор эксплуатации:
- Удаленная
- Воздействие:
- Межсайтовый скриптинг
- CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
- WPKontakt 3.x
Уязвимые версии: wpkontakt 3.0.1 и более ранние версии
Описание:
Уязвимость обнаружена в wpkontakt. Удаленный атакующий может выполнить XSS атаку и получить доступ к важным данным пользователей.
Уязвимость существует при обработке e-mail адреса. Удаленный атакующий может с помощью специально сформированного e-mail адреса выполнить произвольный HTML код на целевой системе. Пример:
test@"style="background-image:url(javascript:alert(%22You%20are%20owned!%22>))".wp.pl
URL производителя: kontakt.wp.pl/index.html
Решение: Установите обновление
http://kontakt.wp.pl/pobierz_najnowsza.html
Ссылки:
Scripting vulnerability in WPkontakt