Программа: YaBB2 RC1

Обнаруженная уязвимость позволяет
злоумышленнику произвести XSS нападение и
получить доступ к важным данным
пользователей. Уязвимость существует из-за
некорректной фильтрации входных данных в
параметре username. Удаленный пользователь
может с помощью специально сформированного
URL выполнить произвольный HTML сценарий в
браузере жертвы.

Пример:

http://[target]/YaBB.pl?action=usersrecentposts;username=
<IFRAME%20SRC%3Djavascript:alert(‘XSS-Vulnerability’)><%252FIFRAME>

Оставить мнение