Security Lab

Межсайтовый скриптинг в ACS Blog

Дата публикации:21.03.2005
Всего просмотров:954
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: ACS Blog 0.8 - 1.1b

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным пользователей.

Уязвимость существует из-за некорректной фильтрации входных данных в переменой search сценария 'search.asp'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

/search.asp?search=%22%3Cbr%3E%3Ciframe+src%3D%22
http%3A%2F%2Fgoogle.com%22%3E%3C%2Fiframe%3E

URL производителя: www.asppress.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: XSS vulnerability exist in the ACS blog