Межсайтовый скриптинг в CONTROLzx HMS

Дата публикации:
04.04.2006
Дата изменения:
24.03.2009
Всего просмотров:
1619
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
CONTROLzx HMS 3.x
Уязвимые версии: CONTROLzx HMS, возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "dedicatedPlanID" сценария "dedicated_order.php", параметре "sharedPlanID" в сценарии "shared_order.php", параметре "plan_id" сценария "customers/server_management.php" и параметре "customerEmailAddress" в сценарии "customers/forgotpass.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

/shared_order.php?sharedPlanID=1[XSS]
/dedicated_order.php?dedicatedPlanID=1[XSS]
/customers/server_management.php?plan_id=1[XSS]

URL производителя: front.controlzx.com

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:
24.03.2009
Изменена секция "Решение"

Ссылки: CONTROLzx HMS - Hosting Management System vuln

или введите имя

CAPTCHA