Программа: GForge 4.5.11

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре «group_id» сценарием advanced_search.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

Атакующий может отправить через метод GET переменную "words" равную

>"<script>alert(‘www.eazel.es’)</script>

в http://site/search/advanced_search.php?group_id=X&search=1

где X – любой активный проект в gforge инсталляции.



Оставить мнение