Security Lab

Межсайтовый скриптинг в MySQL

Дата публикации:02.10.2008
Всего просмотров:2450
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: MySQL 5.x
Уязвимые версии: MySQL 5.0.26, 5.0.37 и 5.0.45, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки HTML данных в консольном клиенте MySQL. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта при просмотре HTML данных для специально сформированной записи в базе данных. Для успешной эксплуатации уязвимости атакующий должен записать код сценария в базу данных и целевой пользователь должен отобразить данные в виде HTML и просмотреть их.

URL производителя: www.mysql.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://bugs.mysql.com/bug.php?id=27884
http://www.henlich.de/it-security/mysql-command-line-client-html-injection-vulnerability/
http://www.henlich.de/it-security/mysql-command-line-client-html-injection-vulnerability/