Уязвимость проверки правильности ввода обнаружена в Mailman mailing list. Удаленный пользователь может выполнить XSS атаку против Mailman пользователей и администраторов. 

По сообщениям, переменная email на Web интерфейсе не достаточно фильтрует HTML код в пользовательских данных. В результате удаленный пользователь может сконструировать URL, который при загрузке пользователем выполнит произвольный код сценария в браузере пользователя Mailman системы. Пример: 

https://[target]:443/mailman/options/yourlist? language=en&email=<SCRIPT >alert(‘Can%20Cross%20Site%20Attack’)</SCRIPT>

Уязвимость обнаружена в Mailman 2.1.



Оставить мнение