Программа: CGI Calendar 2.8 и более ранние версии.
Уязвимость позволяет удаленному
пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной
обработки входных данных в параметре "year"
в сценариях "index.cgi" и "viewday.cgi".
Удаленный пользователь может с помощью
специально сформированного запроса
выполнить произвольный код сценария в
браузере жертвы в контексте безопасности
уязвимого сайта.
Пример:
/cgi-bin/calendar2/index.cgi?lang=en-us&mode=all&month=2&date=1&year=<script>alert('xss');</script>&db=1
/cgi-bin/calendar2/viewday.cgi?lang=en-us&mode=all&month=2&date=1&year=<script>alert('xss');</script>&db=1