Boletines de Vulnerabilidades |
Cross-Site Scripting en phpBB |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Confidencialidad |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | Exotic Software |
| Software afectado | phpBB 2.0.3 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad de Cross-Site Scripting en phpBB. El problema está localizado en el script search.php, y se debe a un filtrado incorrecto de las etiquetas HTML en las peticiones URL. Un atacante remoto puede inyectar código malicioso dentro de las etiquetas HTML, que podría ser ejecutado en el navegador del cliente, para quedarse con las credenciades de autenticación basadas en cookies de este usuario legítimo. |
|
Solución |
|
|
Actualización de software phpBB http://www.phpbb.com |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CAN-2002-0902 |
| BID | |
Recursos adicionales |
|
|
Bugtraq ID: 6311 http://online.securityfocus.com/bid/6311 ISS X-Force Database http://www.iss.net/security_center/static/10773.php |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2003-12-09 |