Программа: Yahoo! Messenger 2.1.0.29
Уязвимость позволяет удаленному пользователю выполнить XSS нападение. Уязвимость существует из-за недостаточной обработки входных данных в chat диалоге в механизме обработки нотификационных сообщений. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:
- Firstname: Hai Nam Luke Hai Nam Luke Hai Nam Luke Hai Nam Luke . ( и так далее, пока жертва не сможет увидеть Lastname)
- Lastname: <img src="javascript:alert('Executed from ' + top.location)" >
- Запрос на добавление ID жертвы в ваш список контактов.
- Как только жертва примет ваш запрос, отправить ему сообщение и изменить ваш онлайн статус (Available -> Invisible)
