Security Lab

Межсайтовый скриптинг в phpArcadeScript

Дата публикации:08.03.2006
Дата изменения:17.10.2006
Всего просмотров:1738
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: CVE-2006-1082
CVE-2008-1163
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: phpArcadeScript 2.x
phpArcadeScript 1.x
Уязвимые версии: phpArcadeScript 2.0 и более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в различных параметрах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[victim]/includes/tellafriend.php?about=game&gamename=[code]
http://[victim]/admin/loginbox.php?loginstatus=1&login_status=[code]
http://[victim]/index.php?action=tradelinks&submissionstatus=[code]
http://[victim]/includes/browse.php?cell_title_background_color=[code]
http://[victim]/includes/browse.php?browse_cat_id=1&browse_cat_name=[code]
http://[victim]/includes/displaygame.php?filetype=1&gamefile=[code]

URL производителя: www.phparcadescript.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: phpArcadeScript XSS Injections