Межсайтовый скриптинг в phpLDAPadmin

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "dn" и "scope" в различных сценариях. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[host]/compare_form.php?server_id=0&dn=[code]
http://[host]/copy_form.php?server_id=0&dn=[code]
http://[host]/rename_form.php?server_id=0&dn=[code]
http://[host]/template_engine.php?server_id=0&dn=[code]
http://[host]/delete_form.php?server_id=0&dn=[code]
http://[host]//search.php?server_id=0&search=true&filter=objectClass%3D%2A&base_dn=cn%3Dtoto%2Cdc%3D
example%2Cdc%3Dcom&form=advanced&scope=[code]

2. Уязвимость существует из-за недостаточной обработки входных данных в параметрах "Container DN", "Machine Name" и "UID Number" в сценарии "template_engine.php". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: phpldapadmin.sourceforge.net

Решение: Способов устранения уязвимости не существует в настоящее время.