Программа: MercuryBoard 1.0.x 1.1.x

Уязвимость позволяет удаленному
пользователю произвести XSS атаку и получить
доступ к важным данным пользователей.
Уязвимость существует из-за недостаточной
проверки данных при обработке ‘f’
параметра в сценарии ‘forum.php’. Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольный
сценарий в браузере жертвы.

Пример:

http://[target]/index.php?a=forum&f=’%3E%3Cscript%3Ealert (document.cookie)%3C/script%3E
http://[target]/index.p hp?a=forum&f=’><script> alert(document.cookie)</script>



Оставить мнение