Дата публикации: | 27.10.2005 |
Всего просмотров: | 2926 |
Опасность: | Средняя |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Уязвимые версии: DCP Portal v6 и более ранние версии
Описание: 1. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в параметре cid в сценарии index.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML кож в браузере жертвы в контексте безопасности уязвимого сайта. Пример:
http://[target]/index.php?page=send&cid=
month=<script>alert(document.cookie); sex=1&name=%27&surname=1&email=1&b_month=0 mode=lost&email=%27&submit=Send month=1&s=1&submit=GO&year='&day=01 index.php?cid=%27[SQL] URL производителя: www.dcp-portal.org Решение: Установите последнюю версию с сайта производителя. Источник: |
|
Ссылки: | DCP - portal XSS & SQL attacks |