PHPNuke уязвим к атаке Cross-Site Scripting. Злонамеренный пользователь может создать ссылку к ' module.php' (модуль для форума) которая содержит злонамеренный код. При нажатии на ссылку не подозревающим пользователем, злонамеренный код сценария будет выполнен в контексте сайта, на котором выполняется PHPNuke. Эта уязвимость позволяет собирать информацию о пользователе или получать доступ к опознавательной информации на основе cookie.
Уязвимость найдена в:
Francisco Burzi PHP-Nuke 1.0,2.5,3.0,4.0,4.3,4.4,4.4.1а,5.0,5.2а,5.2,5.3.1
Francisco Burzi PostNuke 0.62,0.63,0.64
Пример:
http://host.com/modules.php?op=modload&name=XForum&file=[hostilejavascript]&fid=2
