Программа: YaBB 1 GOLD SP 1.3.2
Две уязвимости обнаружены в YaBB. Злонамеренный пользователь может выполнить XSS нападение и обойти некоторые ограничения безопасности.
1. XSS:
http://[victim]/YaBB.pl?board=;action=imsend;to=[code]
2. Злонамеренный пользователь может опубликовать сообщение, содержащее изображение, которое ссылается на URL, используемый при выполнении административных действий. В результате административное действие будет автоматически выполнено, когда администратор читает сообщения форума.
Пример (удаляет доску):
http://[victim]/YaBB.pl?board=;action=modifycat; id=[cateogoryname];moda=Remove2