漏洞标题
N/A
漏洞描述信息
"PostNuke 0.761 和更早版本中的解释冲突允许远程攻击者通过带有 trailing "<" 字符的 HTML 标签进行跨站点脚本攻击(XSS)。某些 Web 浏览器将这解释为 ">" 字符,但绕过了(1) pnAPI.php 中的 pnVarCleanFromInput 函数、(2) pnAntiCracker.php 中的 pnSecureInput 函数以及(3) 在用户.php 中的 htmltext 参数的 blacklist 保护。"
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Interpretation conflict in PostNuke 0.761 and earlier allows remote attackers to conduct cross-site scripting (XSS) attacks via HTML tags with a trailing "<" character, which is interpreted as a ">" character by some web browsers but bypasses the blacklist protection in (1) the pnVarCleanFromInput function in pnAPI.php, (2) the pnSecureInput function in pnAntiCracker.php, and (3) the htmltext parameter in an edituser operation to user.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
PostNuke多个输入验证漏洞
漏洞描述信息
PostNuke 0.761及之前版本中存在解释冲突。远程攻击者可以借助带有"<"字符后缀(在有些web浏览器中会被解释为">",但是会绕过(1)pnAPI.php中pnVarCleanFromInput功能、(2)pnAntiCracker.php中pnSecureInput功能和(3)对user.php进行的edituser操作中的htmltext参数的黑名单保护)的HTML标签进行跨站脚本(XSS)攻击。
CVSS信息
N/A
漏洞类别
跨站脚本