Дата публикации: | 04.11.2005 |
Дата изменения: | 24.03.2009 |
Всего просмотров: | 1646 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: | Межсайтовый скриптинг |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Simple PHP Blog 0.x |
Уязвимые версии: Simple PHP Blog 0.4.5 и более ранние версии
Описание: Уязвимость существует из-за недостаточной обработки входных данных в параметре "entry" в сценариях "preview_cgi.php" и "preview_static_cgi.php", в параметрах "blog_subject" и "blog_text" в сценарии "preview_cgi.php", в параметрах "blog_subject", "blog_text" и "file_name" в сценарии "preview_static_cgi.php", в параметрах "scheme_name" и "bg_color" сценария "colors_cgi.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:
http://your-server/path-to-sphpblog/preview_cgi.php? <form action="http://your-server/path-to-sphpblog/ <form action="http://your-server/path-to-sphpblog/ http://localhost/~enji/path-to-sphpblog/preview_static_cgi.php? <form action="http://your-server/path-to-sphpblog/ <form action="http://your-server/path-to-sphpblog/ <form action="http://your-server/path-to-sphpblog/ <form action="http://your-server/path-to-sphpblog/ <form action="http://your-server/path-to-sphpblog/ URL производителя: www.simplephpblog.com Решение: Установите последнюю версию с сайта производителя. Источник: Журнал изменений: |
|
Ссылки: | Simple PHP Blog: Multiple XSS Vulnerabilities |