Программа: Invision Power Board 2.1 

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей. 

1. Уязвимость обнаружена при обработке входных данных в параметрах “address”, “name” и “description” сценария admin.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы. 

Пример:

http://localhost/2p1p0b3/upload/admin.php? adsess=[xss]&act=login&code=login-complete 

http://localhost/2p1p0b3/upload/admin.php?adsess= [id]&section=content&act=forum&code=new&name=[xss] 

http://localhost/2p1p0b3/upload/admin.php? name=[xss]&description=[xss]

2. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных при обработке полей в различных формах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. 

Примеры:

Уязвимость в ACP Notes:

</textarea>'"/><script>alert(document.cookie)</script>

"Member's Log In User Name", "Member's Display Name", "Email Address contains...", "IP Address
contains...", "AIM name contains...", "ICQ Number contains...", "Yahoo!
Identity contains...", "Signature contains...", "Less than n posts", "Registered Between
(MM-DD-YYYY)", "Last Post Between (MM-DD-YYYY)", "Last Active Between (MM-DD-YYYY)"

Уязвимость в Components:

</textarea>'"/><script>alert()</script> 

Уязвимость также существует при обработке входных данных в полях "Member Name", "Password", "Email Address", "Group Icon Image" и "Calendar: Title".

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии