Программа:
FirePass 5.x
FirePass 6.x
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на
целевую систему. Уязвимость существует из-за недостаточной обработки входных
данных в параметре "css_exceptions" сценарием /vdesk/admincon/webyfiers.php и в
параметре "sql_matchscope" сценарием /vdesk/admincon/index.php. Атакующий может
выполнить произвольный сценарий в браузере жертвы в контексте безопасности
уязвимого сайта.
Пример:
https://(target)/vdesk/admincon/webyfiers.php? a=css&click=1 &css_exceptions=%22+onfocus%3Dalert%28%26quot%3BXSS1%26quot%3B%29+foo%3D%22
&save_css_exceptions=Update
https://(target)/vdesk/admincon/index.php? a=css&sub=sql &sql_matchscope=%22+onfocus%3Dalert%28%26quot%3BXSS2%26quot%3B%29+foo%3D%22
&save_sql_matchscope=Update
