Программа: Invision Power Board 2.x

Удаленный пользователь может произвести
XSS нападение и потенциально получить доступ
к важным данным других пользователей.
Уязвимость существует при обработке
входных данных в некоторых полях форм.
Удаленный пользователь может с помощью
специально сформированного HTTP POST запроса
выполнить произвольный код в браузере
жертвы.

Примеры

1. Уязвимость существует в поле msg_title в
менеджере частных сообщений:

"><script>alert()</script>

2. Уязвимость существует при обработке BB
тегов. Удаленный пользователь может с
помощью специально сформированного
сообщения выполнить произвольный HTML кож в
браузере жертвы.

Пример:

[pоst=[tоpic=100]
Click me!
[/tоpic]]
Click me!
[/pоst]

Оставить мнение