Программа: DotNetNuke версии до 3.3.5 и 4.3.5. 

Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметре «error» в сценарии Default.aspx. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 

Пример:

http://[host]/Default.aspx?tabid=510&error=[code]



Оставить мнение