YaBB 1 GOLD SP 1.3.2 多個弱點
low Nessus Plugin ID 14782
語系:
概要
遠端 Web 伺服器中的 CGI 應用程式受到多個弱點的影響。說明
已安裝「YaBB.pl」CGI。此版本受到一個跨網站指令碼弱點影響。造成此問題的原因在於,應用程式未正確清理使用者提供的輸入。因為此弱點,遠端攻擊者可能會建立含有指令碼的惡意連結,而該指令碼將在造訪時於不知情使用者的瀏覽器中執行。
YaBB 中還有一個瑕疵,攻擊者可以藉由將貼文中格式錯誤的 IMG 標籤傳送至遠端 YaBB 論壇並等待論壇管理員檢視其中一個貼文,來利用此瑕疵在遠端主機上執行惡意管理命令。
解決方案
目前尚未知。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 14782
檔案名稱: yabb_xss.nasl
版本: 1.31
類型: remote
系列: CGI abuses
已發布: 2004/9/21
已更新: 2022/4/11
組態: 啟用 Paranoid 模式, 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Low
基本分數: 3.5
時間分數: 2.6
媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
弱點資訊
CPE: cpe:/a:yabb:yabb
必要的 KB 項目: Settings/ParanoidReport
排除在外的 KB 項目: Settings/disable_cgi_scanning
可輕鬆利用: No exploit is required
弱點發布日期: 2004/9/16
參考資訊
CVE: CVE-2004-2402, CVE-2004-2403