Invision Power IP.Board cross-site scripting (XSS) sérülékenysége


2014. augusztus 5. 09:23

CH azonosító

CH-11491

Angol cím

Invision Power IP.Board Cross-site scripting (XSS) vulnerability

Felfedezés dátuma

2014.07.27.

Súlyosság

Közepes

Érintett rendszerek

Invision
Power Board

Érintett verziók

Invision Power Services IP.Board 3.4

Összefoglaló

Az Invision Power IP.Board sérülékenysége vált ismertté, amelyet kihasználva a támadók cross-site scripting támadásokat hajthatnak végre.

Leírás

A sérülékenység oka, hogy az admin/install/index.php script nem ellenőrzi megfelelően a felhasználótól kapott bemeneti adatokat. A támadók a Referer header segítségével tudják kihasználni a sérülékenységet. A sérülékenység kihasználásával tetszőleges HTML és script kód befecskendezésére nyílik lehetőség, amely a felhasználó böngészőjének munkamenetében fog lefutni.

A támadók ezt kihasználhatják a felhasználó cookie alapú hitelesítési adatainak megszerzésére.

Megoldás

Ismeretlen

Támadás típusa

Cross Site Scripting (XSS/CSS)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2014-5106 - NVD CVE-2014-5106
Egyéb referencia: nvd.nist.gov
Egyéb referencia: xforce.iss.net

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4581 – Liferay sérülékenysége
CVE-2025-40605 – SonicWall Email Security sérülékenysége
CVE-2025-40604 – SonicWall Email Security sérülékenysége
CVE-2025-40601 – SonicWall SonicOS sérülékenység
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-11001 – 7-Zip sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
CVE-2025-13224 – Google Chrome sérülékenysége
Tovább a sérülékenységekhez »