Межсайтовый скриптинг в Kayako eSupport

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах 'i' и 'c'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[target]/path/index.php?_a=knowledgebase&_j=questiondetails&_i=[INT][XSS]
http://[t arget]/path/index.php?_a=knowledgebase&_j=questionprint&_i=[INT][XSS]
http://[target]/path/index.php?_a=troubleshooter&_c=[INT][XSS]
http://[target]/path/index.php?_a=k nowledgebase&_j=subcat&_i=[INT][XSS]

URL производителя: http://www.kayako.com/?_a=products&_m=esupport.features

Решение: Способов устранения уязвимости не существует в настоящее время.