Межсайтовый скриптинг в ExtCalendar

Дата публикации:	27.03.2006
Всего просмотров:	2365
Опасность:	Средняя
Наличие исправления:	Нет
Количество уязвимостей:	1
CVE ID:	CVE-2006-1336
Вектор эксплуатации:	Удаленная
Воздействие:	Межсайтовый скриптинг
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	ExtCalendar 1.x
	Уязвимые версии: ExtCalendar 1.1, возможно более ранние версии. Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "month", "year", "prev" и "next" в сценарии calendar.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Примеры: http://victim/path/calendar.php?op=cal&month=3&year="><script>alert(/Soot/)</script> http://victim/path/calendar.php?op=cal&month="><script>alert(/Soot/)</script>&year=2006 http://victim/path/calendar.php?op=day&ask=nd&da=28&mo=3&ye=2006&next="><script>alert(/Soot/)</script> http://victim/path/calendar.php?op=day&ask=nd&da=28&mo=3&ye=2006&next=2&prev="><script>alert(/Soot/)</script> URL производителя: sourceforge.net/project/showfiles.php?group_id=71902 Решение: Способов устранения уязвимости не существует в настоящее время.
Ссылки:	ExtCalendar v1.0 Multiple Xss Vuln

Межсайтовый скриптинг в ExtCalendar

Подпишитесь на email рассылку