03.03.2007, 14:01
|
|
Постоянный
Регистрация: 01.01.2007
Сообщений: 551
Провел на форуме:
4908597
Репутация:
1866
|
|
Программа: XOOPS 2.0.16, возможно более ранние версии.
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в
параметре "tplset" и "module"(при определенных условиях, приведенных в
примерах) в сценарии /modules/system/admin.php. Удаленный пользователь может
с помощью специально сформированного запроса выполнить произвольный код
сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для
успешной эксплуатации уязвимости целевой пользователь должен быть залогинен
как администратор.
Examples:
Код:
victim.xxx/modules/system/admin.php?fct=tplsets&op=listtpl&tplset=[XSS-here]&moddir=system
Код:
victim.xxx/modules/system/admin.php?fct=modulesadmin&op=install&module=[XSS-here]
URL производителя: http://xoops.org
(с)ice1k :: AltST
Последний раз редактировалось ice1k; 03.03.2007 в 14:04..
|
|
|