Уязвимость в проверке правильности ввода обнаружена в Justice Guestbook
(JGB). Удаленный пользователь может выполнить XSS нападение и раскрыть
чувствительную информацию о системе.
F0KP сообщил, что сценарий jgb.php3 не проверяет переменные $name $homepage,
$aim, $yim, $location и $comment. В результате удаленный пользователь может
вставить произвольный HTML или JavaSript код в эти переменные, чтобы
выполнить различные нападения против пользователей Justice Guestbook (JGB):
http://hostname/jgb_eng_php3/jgb.php3
Также сообщается, что при запросе сценария cfooter.php3 вылезет сообщение об
ошибке, которое содержит информацию о физическом местоположении
wwwroot:
http://hostname/jgb_eng_php3/cfooter.php3
Fatal error: Call to undefined function: getsets() in
/homepages/12/d13457710/htdocs/underground/guestbook/cfooter.php3
on line 31
Уязвимость обнаружена в Justice Guestbook 1.3.
