Программа: Aris agXchange ESM

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на
целевую систему. Уязвимость существует из-за недостаточной обработки входных
данных в параметре "returnpage" сценарием pages/ucschcancelproc.jsp и в
параметре "QueryID" сценарием pages/ucquerydetails.jsp. Атакующий может
выполнить произвольный сценарий в браузере жертвы в контексте безопасности
уязвимого сайта.

Эксплоит:

http://www.example.com/[agx_application]/pages/ucschcancelproc.jsp?returnpage=http://www.RedirectExample.com
http://www.example.com/[agx_application]/pages/ucquerydetails.jsp?QueryID=>%22%27><img%20src%3d%22javascript:alert(31337)%22>
 

Оставить мнение