Security Lab

Межсайтовый скриптинг в CONTROLzx HMS

Дата публикации:04.04.2006
Дата изменения:24.03.2009
Всего просмотров:1868
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: CONTROLzx HMS 3.x
Уязвимые версии: CONTROLzx HMS, возможно более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "dedicatedPlanID" сценария "dedicated_order.php", параметре "sharedPlanID" в сценарии "shared_order.php", параметре "plan_id" сценария "customers/server_management.php" и параметре "customerEmailAddress" в сценарии "customers/forgotpass.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

/shared_order.php?sharedPlanID=1[XSS]
/dedicated_order.php?dedicatedPlanID=1[XSS]
/customers/server_management.php?plan_id=1[XSS]

URL производителя: front.controlzx.com

Решение: Установите последнюю версию с сайта производителя.

Журнал изменений:
24.03.2009
Изменена секция "Решение"

Ссылки: CONTROLzx HMS - Hosting Management System vuln