Межсайтовый скриптинг в CPG Dragonfly
- Дата публикации:
- 01.04.2005
- Дата изменения:
- 24.03.2009
- Всего просмотров:
- 881
- Опасность:
- Низкая
- Наличие исправления:
- Да
- Количество уязвимостей:
- 1
- CVSSv2 рейтинг:
- CVE ID:
- Нет данных
- Вектор эксплуатации:
- Удаленная
- Воздействие:
- Межсайтовый скриптинг
- CWE ID:
- Нет данных
- Наличие эксплоита:
- Нет данных
- Уязвимые продукты:
- CPG Dragonfly CMS 9.x
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей.
Уязвимость существует из-за недостаточной фильтрации входных данных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:
http://[target]/index.php?name=Your_Account&profile=
anyone"><script>alert('foo')</script>
http://[target]/coppermine/displa yimage/meta=lastcom/cat=0">
< script>alert('foo')</script>/pos=0.html
URL производителя: www.cpgnuke.com
Решение: Установите последнюю версию с сайта производителя.
Журнал изменений:
24.03.2009
Изменена секция "Решение"