Powie PForum Username跨站执行脚本漏洞 CVE-2002-0319 CNNVD-200206-088 CNVD-2002-0295

7.5 AV AC AU C I A
发布: 2002-06-25
修订: 2016-10-18

Powie PForum是采用PHP和MySQL实现的WWW论坛,可运行于绝大多数Unix/Linux变体以及微软Windows操作系统。 PForum易受跨站执行脚本攻击。 尽管作者试图过滤来自URL请求的恶意代码,但它忘记检查username参数了。比如攻击者设法使受害者访问如下URL test@test.com&pwd=test&pwd2=test&filled=1\" target=\"_blank\">http://www.server.com/pforum/edituser.php?boardid=&agree=1&username=\\%3Cscript\\%3Ealert(document.cookie)\\%3C/script\\%3E&nickname=test&email=test@test.com&pwd=test&pwd2=test&filled=1 其中的Java Script代码得到执行。这种办法潜在导致合法用户用于身份验证的cookie被非法窃取。

0%

漏洞利用/PoC

当前有3条漏洞利用/PoC

受影响的平台与产品

当前有4条受影响产品信息