Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей.

Программа: vBulletin, Invision Power Board, Phorum, Web Wiz и
другие форумы

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей. Уязвимость
существует при установленном
автоматическом выборе кодировки в браузере.
Удаленный пользователь может обойти
правила фильтрации потенциально опасных
символов в различных форумах, сохранив
злонамеренный HTML код в кодировке utf-7 и
выполнить его в браузере жертвы в контексте
безопасности уязвимого сайта.

Пример:

<title>vBulletin Community Forum — +ADw-/title+AD4APA-script+AD4-alert
(document.cookie)+ADsAPA-/script+AD4-</title>



Оставить мнение