Websecurity - Веб безпека

Виявлена Cross-Site Scripting уразливість в IPB. Це persistent XSS уразливість, що дозволяє розмістити html сторінку з атакуючим кодом на сторінках форума.

Уразливі версії Invision Power Board 2.3.5 та попередні.

IPB не перевіряє вміст htm та html файлів на наявність небезпечного коду. Уразливість працює в Internet Explorer (скрипт спрацьовує автоматично при завантаженні прикріпленного файла) та в Mozilla і Firefox (скрипт спрацьовує якщо в діалозі збереження файла вибрати його відкриття в браузері).

А також, як я перевірив пізніше, уразливість працює в Opera. Причому в IE та Opera код виконується в контексті сайта.

• xss in ipb 2.3.5 (деталі)

This entry was posted on 23:53 21.05.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.