Программа: CalendarScript 3.20, 3.21

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к важным данным других
пользователей. Уязвимость существует в
сценарии 'calendar.pl' из-за недостаточной
обработки входных данных. Удаленный
пользователь может с помощью специально
сформированного URL выполнить произвольный
HTML сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.

Пример:

http://[target]/cgi-bin/calendar/calendar.pl?calendar= [valid calender]&template=[XSS]

http://[target]/cgi-bin/calendar/calendar.pl?calendar= [valid calender]&command=login&username=
[XSS]&template=login.htm

Раскрытие установочной директории и
системной информации:

http://[target]/cgi-bin/calendar/calendar.pl?calendar= [valid calender]&year=f00b4r

http://[target]/cgi-bin/calendar/calendar.pl?calendar= [valid calender]&month=f00b4

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии