Программа: ActiveCampaign SupportTrio 2.50.2, возможно более ранние версии.

Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "terms"
в модуле поиска. Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольный код сценария в браузере жертвы в
контексте безопасности уязвимого сайта.

Удаленный пользователь может послать некорректные данные сценариям "index.php" и
"pdf.php" и получить данные об установочной директории приложения на сервере.

Пример:

/supporttrio/index.php?action=kb&article=[r0t]
/supporttrio/index.php?action=kb&print=[r0t]
/supporttrio/modules/KB/pdf.php?category=[r0t]

Оставить мнение