Программа: DotNetNuke версии до 3.0.12
Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей.
1. Уязвимость существует в сценарии
регистрации нового пользователя из-за
недостаточной обработки входных данных.
Произвольный HTML сценарий будет выполнен
при просмотре личных данных пользователя
на странице View All User Details.
2. Отсутствует фильтрация поля User-Agent в HTTP
заголовке. Удаленный пользователь может с
помощью специально сформированного
заголовка выполнить произвольный HTML
сценарий в браузере жертвы во время
просмотра лог файла.
3. Злоумышленник может с помощью
специально сформированного имени
пользователя выполнить произвольный HTML
сценарий в браузере жертвы. Уязвимость
существует из-за недостаточной фильтрации
данных при ведении логирования неуспешных
входов.
