Программа: MKPortal 1.1 RC1 и более ранние версии.

Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметрах
"u1", "m1", "m2", "m3" и "m4" в сценарии "include/pmpopup.php". Удаленный
пользователь может с помощью специально сформированного запроса выполнить
произвольный код сценария в браузере жертвы в контексте безопасности уязвимого
сайта.

Пример:

http://[victim]/[mkportaldir]/includes/pm_popup.php?u1= [XSS]&m1=[XSS]&m2=[XSS]&m3=[XSS]&m4=[XSS]

 

Оставить мнение