Программа: CGI Calendar 2.8 и более ранние версии.

Уязвимость позволяет удаленному
пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной
обработки входных данных в параметре "year"
в сценариях "index.cgi" и "viewday.cgi".
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольный код сценария в
браузере жертвы в контексте безопасности
уязвимого сайта.

Пример:

/cgi-bin/calendar2/index.cgi?lang=en-us&mode=all&month=2&date=1&year=<script>alert(‘xss’);</script>&db=1

/cgi-bin/calendar2/viewday.cgi?lang=en-us&mode=all&month=2&date=1&year=<script>alert(‘xss’);</script>&db=1

Оставить мнение