Программа: Flyspray 0.9.8 и более ранние версии

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей. Уязвимость
существует из-за недостаточной обработки
входных данных перед выводом их в браузер
жертвы. Удаленный пользователь может с
помощью специально сформированного
запроса выполнить произвольный HTML сценарий
в браузере жертвы в контексте безопасности
уязвимого сайта. Уязвимые параметры: PHPSESSID,
task,string,type,serv,due и dev.

Примеры:

http://[victim]/index.php?tasks=all%22%3E%3Cscript
%3Ealert%28%29%3C%2Fscript%3E&project=0



Оставить мнение