Программа: eyeOS 0.8.4 и более ранние версии
Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важным
данным других пользователей.
1. Межсайтовый скриптинг возможен из-за
недостаточной обработки входных данных в
eyeBoard в параметре motd сценария desktop.php.
Удаленный пользователь может с помощью
специально сформированного URL выполнить
произвольный HTML сценарий в браузере жертвы
в контексте безопасности уязвимого сайта.
2. Имена пользователей и зашифрованные
пароли хранятся в файле usrinfo.xml в пределах
корневой web директории.