Программа: Oracle Reports Server 10g (9.0.4.3.3)

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
поучить доступ к потенциально важным
данным других пользователей. Уязвимость
существует из-за некорректной фильтрации
входных данных в демонстрационном сценарии
‘test.jsp’. Удаленный пользователь может с
помощью специально сформированного URL
выполнить произвольный HTML сценарий в
браузере жертвы.

Пример:

http://[target]/reports/examples/Tools/test.jsp?repprod& desname= ‘<script>alert(document.cookie);</script>

http: //[target]/reports/examples/Tools/test.jsp?repprod"
<script>alert(document.cookie);</script>



Оставить мнение