Podatność CVE-2006-0800
Publikacja: 2006-02-20   Modyfikacja: 2012-02-12

Opis:
Interpretation conflict in PostNuke 0.761 and earlier allows remote attackers to conduct cross-site scripting (XSS) attacks via HTML tags with a trailing "<" character, which is interpreted as a ">" character by some web browsers but bypasses the blacklist protection in (1) the pnVarCleanFromInput function in pnAPI.php, (2) the pnSecureInput function in pnAntiCracker.php, and (3) the htmltext parameter in an edituser operation to user.php.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
Med.
Multiple vulnerabilities in PostNuke <= 0.761
Maksymilian Arci...
19.02.2006

Typ:

CWE-79

 (Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting'))

CVSS2 => (AV:N/AC:H/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
2.6/10
2.9/10
4.9/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Wysoka
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Postnuke software foundation -> Postnuke 

 Referencje:
http://xforce.iss.net/xforce/xfdb/24823
http://www.securityfocus.com/bid/16752
http://secunia.com/advisories/18937
http://news.postnuke.com/index.php?name=News&file=article&sid=2754
http://www.vupen.com/english/advisories/2006/0673
http://securityreason.com/securityalert/454
http://securityreason.com/securityalert/454
http://archives.neohapsis.com/archives/fulldisclosure/2006-02/0469.html
Copyright 2024, cxsecurity.com

 

Back to Top