Invision Power Board 'member.php'跨站脚本攻击漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1193257 漏洞类型 跨站脚本
发布时间 2006-10-10 更新时间 2006-10-10
CVE编号 CVE-2006-5204 CNNVD-ID CNNVD-200610-134
漏洞平台 N/A CVSS评分 2.1
|漏洞来源
https://www.securityfocus.com/bid/83632
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200610-134
|漏洞详情
InvisionPowerBoard(IPB)2.1.7和之前的版本,其action_admin/member.php中的跨站脚本攻击漏洞,远程认证用户可以通过对avatar设置中脚本的引用来注入任意的Web脚本或HTML,从而可以被包含有由管理员强制的SQL执行的跨站请求伪造攻击利用。
|受影响的产品
Invision Power Services Invision Power Board 3.1.3 Invision Power Services Invision Power Board 1.2.2 Invision Power Services Invision Power Board 2.1.7 Invision Power Services Invision Power Board 2.1.6
|参考资料

来源:VUPEN
名称:ADV-2006-3927
链接:http://www.frsirt.com/english/advisories/2006/3927
来源:forums.invisionpower.com
链接:http://forums.invisionpower.com/index.php?showtopic=227937
来源:XF
名称:ipb-avatar-image-xss(29351)
链接:http://xforce.iss.net/xforce/xfdb/29351
来源:BUGTRAQ
名称:20061004InvisionPowerBoardMultipleVulnerabilities
链接:http://www.securityfocus.com/archive/1/archive/1/447710/100/0/threaded
来源:SECUNIA
名称:22272
链接:http://secunia.com/advisories/22272