Межсайтовый скриптинг в Kayako eSupport

Дата публикации:
28.03.2005
Всего просмотров:
857
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Kayako eSupport 2.3

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах 'i' и 'c'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[target]/path/index.php?_a=knowledgebase&_j=questiondetails&_i=[INT][XSS]
http://[t arget]/path/index.php?_a=knowledgebase&_j=questionprint&_i=[INT][XSS]
http://[target]/path/index.php?_a=troubleshooter&_c=[INT][XSS]
http://[target]/path/index.php?_a=k nowledgebase&_j=subcat&_i=[INT][XSS]

URL производителя: http://www.kayako.com/?_a=products&_m=esupport.features

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Kayako eSupport Cross Site Scripting

или введите имя

CAPTCHA