Программа: SquirrelMail версии до 2.1

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей. Уязвимость
обнаружена в плагине ‘Address Add’ при обработке
входных данных. Удаленный пользователь
может с помощью специально сформированного
URL выполнить произвольный HTML сценарий в
браузере жертвы в контексте безопасности
уязвимого сайта.

Пример:

/squirrelmail_root_dir/plugins/address_add/add.php? first=HOVER%20ME!%22%20onMouseOver=%22alert(‘foo’);



Оставить мнение