Программа: Caravel CMS 3.0 Beta 1 и более ранние версии
Удаленный пользователь может произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметрах "folderviewer_attrs" и "fileDN". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:
/Introduction?&CB=CB1&fileDN=[XSS]
/Community/News?&CB=CB1&fileDN=[XSS]
/Community/News?&CB=CB1&fileDN=mnF%3Djune2005.html
%2CmnOD%3DNewsletter%2CmnOD%3DMy%20Documents %2Cdc%3Demanuel%2Cdc%3Dmennonite%2Cdc%3Dnet&
folderviewer_attrs=[XSS]
/Introduction?&CB=CB1&fileDN=mnF%3D2.3.html%2CmnOD%3D
News%2CmnOD%3DMy%20Documents%2Cdc%3Demanuel%2C dc%3Dmennonite%2Cdc%3Dnet&folderviewer_attrs=[XSS]
