Программа: Invision Power Board 2.0.3

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к важным данным других
пользователей. Уязвимость существует из-за
некорректной обработки входных данных в
некоторых BBCode тегах в подписи. Удаленный
пользователь может с помощью специально
сформированного тега сохранить
злонамеренную подпись, которая будет
отображаться в каждом сообщении
злоумышленника, и выполнить произвольный
HTML сценарий в браузере других
пользователей.

Пример:

[COLOR=[IMG]http://server/=`image.jpg[/IMG]]`style=background:url ("javascript:document.location.replace(‘http://[attackersite]’);")



Оставить мнение