jambook.txt
Posted on 29 November 2006
------=_Part_126104_29492606.1164565546478 Content-Type: text/plain; charset=ISO-8859-1; format=flowed Content-Transfer-Encoding: 7bit Content-Disposition: inline ########################################################################### # Advisory #14 Title: Mambo component "jambook" Html injection Vulnerability # # # Author: 0o_zeus_o0 ( Arturo Z. ) # Contact: zeus at diosdelared.com # Website: www.diosdelared.com # Date: 26/11/06 # Risk: medium # Vendor Url: http://www.jxdevelopment.com/jambook # Affected Software: jambook # search: allinurl: com_jambook # #Info: ################################################################## #can be exploited by malicious people to conduct script insertion attacks. # #Input passed to the "Entry" field isn't sanitised before being stored in the guestbook. # #This can be exploited to execute arbitrary script code in a user's browser session # #in context of an affected website when a malicious guestbook entry is viewed. # # #example ################################################################## # #<iframe src=www.webos.com > # # ################################################################## # # # #VULNERABLE VERSIONS ################################################################## # 1.0 # ################################################################## #Contact information #0o_zeus_o0 #zeus at diosdelared.com #www.diosdelared.com ################################################################## #greetz: S.S.M, sams, a mi beba #Original Advisory: http://diosdelared.com/14.txt ################################################################## ------=_Part_126104_29492606.1164565546478 Content-Type: text/html; charset=ISO-8859-1 Content-Transfer-Encoding: 7bit Content-Disposition: inline ###########################################################################<br># Advisory #14 Title: Mambo component "jambook" Html injection Vulnerability <br>#<br>#<br># Author: 0o_zeus_o0 ( Arturo Z. )<br># Contact: zeus at <a href="http://diosdelared.com">diosdelared.com</a><br># Website: <a href="http://www.diosdelared.com">www.diosdelared.com</a><br># Date: 26/11/06<br># Risk: medium<br># Vendor Url: <a href="http://www.jxdevelopment.com/jambook"> http://www.jxdevelopment.com/jambook</a><br># Affected Software: jambook<br># search: allinurl: com_jambook<br>#<br>#Info:<br>##################################################################<br>#can be exploited by malicious people to conduct script insertion attacks. <br>#<br>#Input passed to the "Entry" field isn't sanitised before being stored in the guestbook.<br>#<br>#This can be exploited to execute arbitrary script code in a user's browser session<br>#<br>#in context of an affected website when a malicious guestbook entry is viewed. <br>#<br>#<br>#example<br>##################################################################<br>#<br>#<iframe src=<a href="http://www.webos.com">www.webos.com</a> ><br>#<br>#<br>################################################################## <br>#<br>#<br>#<br>#VULNERABLE VERSIONS<br>##################################################################<br># 1.0<br>#<br>##################################################################<br>#Contact information<br> #0o_zeus_o0<br>#zeus at <a href="http://diosdelared.com">diosdelared.com</a><br>#www.diosdelared.com<br>##################################################################<br>#greetz: S.S.M, sams, a mi beba<br>#Original Advisory: <a href="http://diosdelared.com/14.txt">http://diosdelared.com/14.txt</a><br>################################################################## ------=_Part_126104_29492606.1164565546478--
