ParaNews "news.php" Cross-Site Scripting
Yayınlanma Tarihi: 15 Eylül 2008
Kritiklik Düzeyi: Az Derecede Kritik
Etkilenen Yazılım: ParaNews 3.x
Açıklama: ParaNews& te cross-site scripting saldırıları düzenleyecek şekilde exploit edilebilen vulnerabilityler rapor edildi.
news.php sayfasındaki "id" ve "page" parametrelerine giden değerler kullanıcıya döndürülmeden önce tamamen filtrelenmiyor. Buda etkilenen sitede kullanıcının tarayıcısında HTML yada script kodu çalıştırabilecek şekilde exploit edilebilir.
Vulnerabilityler 3.4.22 versiyonunda rapor edildi. Diğer versiyonlarda etkileniyor olabilir.
Çözüm: Kaynak kodu girdileri filtreleyecek şekilde düzenleyin
Exploit: Vulenerabilityler news.php deki "page" ve "id" değişkenlerinde bulunuyor. Exploit etmek için aşağıdaki kodları kullanabilirsiniz.
Kod:
">**********alert(********.cookie)</script>
"><marquee><h1>xyl</h1></marquee>
">**********alert(1337)</script>
Yayınlanma Tarihi: 15 Eylül 2008
Kritiklik Düzeyi: Az Derecede Kritik
Etkilenen Yazılım: ParaNews 3.x
Açıklama: ParaNews& te cross-site scripting saldırıları düzenleyecek şekilde exploit edilebilen vulnerabilityler rapor edildi.
news.php sayfasındaki "id" ve "page" parametrelerine giden değerler kullanıcıya döndürülmeden önce tamamen filtrelenmiyor. Buda etkilenen sitede kullanıcının tarayıcısında HTML yada script kodu çalıştırabilecek şekilde exploit edilebilir.
Vulnerabilityler 3.4.22 versiyonunda rapor edildi. Diğer versiyonlarda etkileniyor olabilir.
Çözüm: Kaynak kodu girdileri filtreleyecek şekilde düzenleyin
Exploit: Vulenerabilityler news.php deki "page" ve "id" değişkenlerinde bulunuyor. Exploit etmek için aşağıdaki kodları kullanabilirsiniz.
Kod:
">**********alert(********.cookie)</script>
"><marquee><h1>xyl</h1></marquee>
">**********alert(1337)</script>
