Программа: SimpNews 2.x

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре "l_username" сценарием admin/layout2b.php и в параметре "backurl" сценарием comment.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

http://[TARGET]/[PRODUCT DIRECTORY]/admin/layout2b.php? no_rgcheck=true&lang=1&do_login=1&l_username=</td> <script>alert(document.cookies)</script><td>

http://[TARGET]/[PRODUCT DIRECTORY]/comment.php? lang=en&mode=new&entryref=&backurl="><script>alert(document.cookies)</script>



Оставить мнение