Security Lab

Межсайтовый скриптинг в Elite Forum

Дата публикации:03.11.2005
Всего просмотров:1062
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Elite Forum 1.x
Уязвимые версии: Elite Forum 1.0.0.0 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость обнаружена при обработке входных данных. Удаленный пользователь может создать специально сформированное сообщение и выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

< img src="javascript:void(window.location=('imagelink'))"> - Replace the imagelink with the link to the image you want to redirect the users viewing the topic containing this code.

<img src="javascript:a=100;while(a>=0){alert(a);a--}">

<img src="javascript:a=1;while(a>0){alert("sup?")">

URL производителя: firestorm.all-interviews.com/index.php?act=eliteforum

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник:

Ссылки: Elite Forum 1.0.0.0 XSS Vulnerability