Программа: Kayako eSupport 2.3

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к важным данным других
пользователей. Уязвимость существует из-за
недостаточной обработки входных данных в
параметрах ‘i’ и ‘c’. Удаленный пользователь
может с помощью специально сформированного
URL выполнить произвольный HTML код в браузере
жертвы в контексте безопасности уязвимого
сайта.

Примеры:

http://[target]/path/index.php?_a=knowledgebase&_j=
questiondetails&_i=[INT][XSS]
http://[t arget]/path/index.php?_a=knowledgebase&_j= questionprint&_i=[INT][XSS]
http://[target]/path/index.php?_a=troubleshooter&_c= [INT][XSS]
http://[target]/path/index.php?_a=k nowledgebase&_j= subcat&_i=[INT][XSS]

Оставить мнение