Уязвимость в проверке правильности ввода обнаружена в Justice Guestbook
(JGB). Удаленный пользователь может выполнить XSS нападение и раскрыть
чувствительную информацию о системе. 

F0KP сообщил, что сценарий jgb.php3 не проверяет переменные $name $homepage,
$aim, $yim, $location и $comment. В результате удаленный пользователь может
вставить произвольный HTML или JavaSript код в эти переменные, чтобы
выполнить различные нападения против пользователей Justice Guestbook (JGB): 

http://hostname/jgb_eng_php3/jgb.php3 

Также сообщается, что при запросе сценария cfooter.php3 вылезет сообщение об
ошибке, которое содержит информацию о физическом местоположении
wwwroot: 

http://hostname/jgb_eng_php3/cfooter.php3 

Fatal error: Call to undefined function: getsets() in 
/homepages/12/d13457710/htdocs/underground/guestbook/cfooter.php3 
on line 31 

Уязвимость обнаружена в Justice Guestbook 1.3.



Оставить мнение