Программа: Alkacon OpenCms 6.2.1, возможно более
ранние версии.

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к важным данным.

1. Уязвимость существует из-за
недостаточного ограничения доступа к
административной секции приложения.
Удаленный пользователь может просмотреть
содержимое некоторых файлов на системе,
просмотреть исходный код .jsp файлов,
добавить нового Web-пользователя,
просмотреть список существующих
пользователей и отправить всем
пользователям широковещательное сообщение.

2. Уязвимость существует из-за
недостаточной обработки входных данных в
поле "Message" при отправке
широковещательного сообщения. Удаленный
пользователь может с помощью специально
сформированного запроса выполнить
произвольный код сценария в браузере
жертвы в контексте безопасности уязвимого
сайта.



Оставить мнение