Összefoglaló
A phpFreeForum több sérülékenységét is jelentették, amelyeket a támadók felhasználhatnak cross-site scripting támadások lefolytatására.
Leírás
A phpFreeForum több sérülékenységét is jelentették, amelyeket a támadók felhasználhatnak cross-site scripting támadások lefolytatására.
Az error.php “message” paraméterének és a part/menu.php “nickname” és “randomid” paramétereinek átadott bemenet nincs megfelelően ellenőrizve, mielőtt azokat visszaadnák a felhasználónak. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjében egy érintett oldallal kapcsolatosan.
A sérülékenységeket az 1.0 RC2 verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)