Программа: EVA-Web 2.1.2, возможно более ранние версии.

Уязвимость позволяет удаленному пользователю произвести XSS нападение. Уязвимость существует из-за недостаточной обработки входных данных в параметре "debut_image" в сценарии article-album.php3 и параметре "date" в сценарии "rubrique.php3". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примеры:

/article-album.php3?id_article=39&debut_image=[XSS]
/rubrique.php3?id_rubrique=29&date=[XSS]
/?perso=[XSS]
/?aide=[XSS]

/?perso=full path
/?aide=full path



Оставить мнение