Межсайтовый скриптинг в Topic Calendar для phpBB

Дата публикации:	29.03.2005
Всего просмотров:	2028
Опасность:	Низкая
Наличие исправления:	Нет
Количество уязвимостей:	1
CVE ID:	CVE-2005-0871 CVE-2005-0872
Вектор эксплуатации:	Удаленная
Воздействие:	Межсайтовый скриптинг Раскрытие системных данных
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Topic calendar 1.x (модуль к phpBB)
	Уязвимые версии: Topic Calendar 1.0.1 Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей. Уязвимость существует из-за недостаточной фильтрации данных в параметре start файла 'calendar_scheduler.php'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример: http://[target]/phpbb/calendar_scheduler.php?start= %22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Удаленный пользователь может с помощью специально сформированного URL получить информацию об установочной директории на системе. Пример: http://[target]/phpbb/calendar_scheduler.php%5C http://[t arget]/phpbb/calendar_scheduler.php?d=-1 Решение: Способов устранения уязвимости не существует в настоящее время.

Межсайтовый скриптинг в Topic Calendar для phpBB

Подпишитесь на email рассылку