Cross-Site Scripting в Invision Power Board
23:53 21.05.2008Виявлена Cross-Site Scripting уразливість в IPB. Це persistent XSS уразливість, що дозволяє розмістити html сторінку з атакуючим кодом на сторінках форума.
Уразливі версії Invision Power Board 2.3.5 та попередні.
IPB не перевіряє вміст htm та html файлів на наявність небезпечного коду. Уразливість працює в Internet Explorer (скрипт спрацьовує автоматично при завантаженні прикріпленного файла) та в Mozilla і Firefox (скрипт спрацьовує якщо в діалозі збереження файла вибрати його відкриття в браузері).
А також, як я перевірив пізніше, уразливість працює в Opera. Причому в IE та Opera код виконується в контексті сайта.
- xss in ipb 2.3.5 (деталі)