Vulnerability Bulletins |
Cross-Site Scripting en phpBB |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Confidencialidad |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Exotic Software |
| Affected software | phpBB 2.0.3 |
Description |
|
|
Se ha descubierto una vulnerabilidad de Cross-Site Scripting en phpBB. El problema está localizado en el script search.php, y se debe a un filtrado incorrecto de las etiquetas HTML en las peticiones URL. Un atacante remoto puede inyectar código malicioso dentro de las etiquetas HTML, que podría ser ejecutado en el navegador del cliente, para quedarse con las credenciades de autenticación basadas en cookies de este usuario legítimo. |
|
Solution |
|
|
Actualización de software phpBB http://www.phpbb.com |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2002-0902 |
| BID | |
Other resources |
|
|
Bugtraq ID: 6311 http://online.securityfocus.com/bid/6311 ISS X-Force Database http://www.iss.net/security_center/static/10773.php |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-12-09 |