Cross-Site Scripting в ImgHosting 1.5
ImgHosting — система хранения изображений, позволяющая загружать изображения без регистрации. Сервис идеально подходит для быстрого и надежного размещения изображений для форумов, блогов и веб-сайтов. Простой дизайн, удобные клиенты, прямые ссылки на фотографии.
ImgHosting 1.5 уязвим для атак XSS. Данная уязвимость может быть проэксплуатирована злоумышленником в поисковой системе хостинга. Так как на сайте предусмотрен интерфейс входа пользователя и администратора, злоумышленники могут выполнять сценарии в браузере жертвы, которые способны захватывать пользовательские сеансы, деактивировать веб-сайты или перенаправлять пользователя на вредоносные сайты.
Пример эскплуатации уязвимости:
http://{TARGET}/?search=">confirm(document.domain)