Ultimate PHP Board, Cross-Site Scripting attack

Ultimate PHP Board ve verzi 1.9.6 GOLD a dřívější nesprávné ověřuje uživatelský vstup do parametru „rev” ve skriptu „login.php”. Podobně jsou zranitelné i další skripty : viewtopic.php, profile.php, newpost.php, email.php, icq.php, aol.php, getpass.php a search.php. Útočník může pomocí speciálně upraveného URL spustit v cílovém prohlížecí libovolný skript, který poběží v „bezpečnostním kontextu” stránek s Ultimate PHP Board. Tím se může útočník dostat ke cookies daného uživatele (včetně například autentizačních cookies) nebo k datům, které uživatel poslal na board. Výrobce zatím neposkytl řešení tohoto problémů. Více informací, včetně praktických ukázek využití zranitelností, naleznete zde.