Несколько уязвимостей в проверке правильности ввода обнаружены в myPHPNuke. Удаленный атакующий может выполнять XSS нападения против myPHPNuke пользователя.

Сценарий links.php не фильтрует данные, представленные пользователем в нескольких переменных. В результате удаленный атакующий может внедрить произвольный код сценария в сгенерированные страницы, который может использоваться для кражи опознавательной информации, хранящейся в куки пользователя. Пример: 

http://WEB/myphpnuke/links.php?op=MostPopular&ratenum= [scr!pt]alert(documen t.cookie);[/scr!pt]&ratetype=percent
http://WEB/myphpnuke/links.php?op=search&query= [scr!pt]alert(‘tacettin@olympos.org’);[/scr!pt]?query=

Оставить мнение