Межсайтовое выполнение сценариев в Moodle
| Дата публикации: | 30.12.2004 |
| Всего просмотров: | 1252 |
| Опасность: | Низкая |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: Moodle 1.4.2. и более ранние версии
Описание: Уязвимость существует в сценарии '/mod/forum/view.php' из-за некорректной фильтрации данных в переменной $search. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере целевого пользователя. Пример: http://[target]/moodle/mod/forum/view.php?id=1&search=moodle%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Удаленный атакующий может получить доступ к данным сессии с помощью сценария 'file.php'. Пример: http://[target]/moodle/file.php?file=/1/../sessions/sess_6ac3b47ee23c6aa55896f4cd68a f9622 URL производителя: www.moodle.org Решение: Решение не существует на данный момент. |
|
| Ссылки: | Multiple Vulnerabilities in Moodle |