Межсайтовый скриптинг в Invision Power Board

Дата публикации:25.04.2005
Дата изменения:11.04.2009
Всего просмотров:3879
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Invision Power Board 2.x
Уязвимые версии: Invision Power Board 2.x

Описание:
Удаленный пользователь может произвести XSS нападение и потенциально получить доступ к важным данным других пользователей.

Уязвимость существует при обработке входных данных в некоторых полях форм. Удаленный пользователь может с помощью специально сформированного HTTP POST запроса выполнить произвольный код в браузере жертвы. Примеры

1. Уязвимость существует в поле msg_title в менеджере частных сообщений:

"><script>alert()</script>

2. Уязвимость существует при обработке BB тегов. Удаленный пользователь может с помощью специально сформированного сообщения выполнить произвольный HTML кож в браузере жертвы. Примеры:

[pоst=[tоpic=100]
Click me!
[/tоpic]]
Click me!
[/pоst]

URL производителя: invisionpower.com

Решение: Установите последнюю версию с сайта производителя.

Источник:http://forum.antichat.ru/showthread.php?t=6210